作者ProtectChu56 (Eric P. Chu)
看板DigiCurrency
标题[闲聊] Coinomi钱包支援XMR和安全性争议
时间Wed Feb 27 19:50:44 2019
讲重点:
1.Coinomi最近版本正式支援XMR了
2.Coinomi被某些国外乡民指控有严重安全性漏洞,且声称已被盗
第2点真假不明,请版上高手评论。
讨论串:
https://twitter.com/lukechilds/status/1100613365850767360?s=21
http://tinyurl.com/y3cthhe5
以我看的似懂非懂,大意是有人拍影片指控 桌面客户端的Coinomi
会在输入阶段,透过Googles remote spellchecker API
发送seed phrase出去
这会导致google员工可以知道你的种子短语,而原始作者声称因此已经被盗
这听起来很恐怖,而手机客户端由於是闭源,是否存在相同漏洞?
--
题外话:
自从大量ETH套牢在500楼後
就把一些Token和ETH全锁在一只只装Coinomi的除役手机中 眼不见为净
最近发现 Coinomi正式支援Monero(XMR),想说乾脆也丢在一起保管
直到看到这新闻,Coinomi采取冷处理与删文,使人信心严重下降
上一次就是jaxx采取这种态度让我转向Coinomi,想不到......
算一算如果把XMR和ETH生态系的价值合计,也是一笔不小的数字
冷储存也该用硬体钱包比较安心
但硬体钱包一直有个疑虑困扰着我
先前没有购买硬体钱包,就是考虑到硬体钱包的种子(seed phrase)
必须不透过电脑操作、不存云端,只以手写保存在纸张,才有真正接近0暴露风险
那「如果硬体钱包和seed phrase一起被火灾烧了怎麽办?」
(当然能异地保险箱储存 或 可以牢牢背住24字短语的人没有这些问题,显然我不能)
不知道有用硬体钱包大量储存的前辈,如何规划火灾的风险?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.135.50.100
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1551268249.A.F5F.html
1F:推 DarkerDuck: Coinomi本身没有OpenSource,其实安全性无法公开检验 02/27 20:01
2F:→ DarkerDuck: seed phrase异地备援又不难 02/27 20:03
3F:→ DarkerDuck: 公司or学校,自己家,老家都放seed phrase笔记本就好 02/27 20:04
4F:→ DarkerDuck: 我seed phrase都用自己才知道的规律写在用过的笔记本 02/27 20:04
5F:→ DarkerDuck: 就算别人看到了,只会觉得这本用过笔记本根本没啥好看 02/27 20:05
版主484歧视SOHO族喇
6F:→ DarkerDuck: 或是乾脆随身携带在皮包里,用擦擦笔写在名片上 02/27 20:07
7F:→ DarkerDuck: 擦掉後变空白,以後要看再拿去冰箱复原就好 02/27 20:08
[方法1] 变色笔放钱包带在身上
8F:推 ketao: 对岸的cobo钱包有出防水耐酸的金属助记词板 预算够多可以 02/27 20:12
9F:→ ketao: 考虑 02/27 20:12
金属注记版好贵喔
10F:推 tcn1john: 怕.jog 我也放了不少在手机coinomi钱包里 02/27 20:25
我已经不知道该相信谁了
11F:推 leftc: 私钥会经过第三方API就已经不安全了,它甚至是用明文传输 02/27 20:27
12F:→ leftc: 请别人帮忙检查私钥拼字跟把提款密码借别人测试有87成像XD 02/27 20:31
所以说XMR+ETH能同时存的软体钱包现在谁可信度高一点呀?
13F:推 darkdixen: 当然是买个一打硬体钱包 把资产分成12等分 埋在12个不 02/27 20:33
14F:→ darkdixen: 同的所在(? 02/27 20:33
多买几组埋公园土里,喂
15F:推 word2010a: 我曾经想过把24个字其中一个背下来,剩下的拆成几段, 02/27 20:39
16F:→ word2010a: 在网路上各地备份,纸本也到处备份,不过我觉得最大的 02/27 20:39
17F:→ word2010a: 风险是我的记忆,虽然只是一个字orz 02/27 20:39
18F:推 mithuang: 说真的,24个单字没那麽难背,你读书的时候都背几千个单字 02/27 20:42
19F:→ mithuang: 了,passphrase列表都是简单的单字,一定都背过,只是要把 02/27 20:42
20F:→ mithuang: 顺序记下来而已,真的没那麽难。出社会了很少在背东西,但 02/27 20:42
21F:→ mithuang: 这种程度的背诵,比起学生考试要背的东西实在简单太多倍 02/27 20:42
22F:→ mithuang: 了。备份要备,但记也是得记的。人生有一堆考试都在考了, 02/27 20:42
23F:→ mithuang: 这种一生背一次就好的东西偏偏不试着去记,是不是太奇怪 02/27 20:42
24F:→ mithuang: 了? 02/27 20:42
火灾後创伤失意一部分怎麽办
25F:→ DarkerDuck: 真的要玩的话可以用多签地址,10-of-20 multisig 02/27 20:47
26F:→ DarkerDuck: 20份私钥到处丢,只要能找到10份私钥就可以拿到大秘宝 02/27 20:48
28F:→ DarkerDuck: 与私钥共存亡 02/27 20:51
......
29F:推 TellthEtRee: 去网路找一份英文考卷word档,把第1题到第24题的A选 02/27 21:08
30F:→ TellthEtRee: 项改成seed phrase再传到云端硬碟,档名改为我的智障 02/27 21:08
31F:→ TellthEtRee: 考卷 02/27 21:08
[方法2] 云端伪装文档,觉得这是本日最佳解
32F:推 trleee: 私钥记得加密或自己加盐 绝对不要明文 02/27 21:22
现在就是用keepass加上强密码在云端备份
但我觉得硬体钱包还这样搞有点失去意义
※ 编辑: ProtectChu56 (220.135.50.100), 02/27/2019 21:26:16
33F:推 Ayukawayen: 如果和别人撞考卷就共享私钥了 02/27 21:30
34F:推 john801110: 多抄几份阿 然後放不同地方 02/27 22:13
35F:推 currit: 刺青在身上...... 02/28 05:20
36F:推 vvind: 拆开放不同地方就好了,不管是实体还是非实体 02/28 09:23
37F:→ vvind: 当你自己要取回都麻烦时,愈麻烦愈安全 02/28 09:23
38F:推 TellthEtRee: 再提供一招 私钥直接抄下来,但最後10码反序抄 也是 02/28 09:36
39F:→ TellthEtRee: 大剌剌放云端 02/28 09:36
40F:→ TellthEtRee: 然後错的私钥对应位址也放一点微量币 当烟雾弹 02/28 09:39
41F:推 TellthEtRee: 如果是印QR code的人 可以先镜像再印出来 多一层保护 02/28 09:45
42F:→ TellthEtRee: ,还原时用镜子还原 02/28 09:45
43F:推 TellthEtRee: 我考卷只是举例阿,你也可以找一份考卷有200题,然後 02/28 09:51
44F:→ TellthEtRee: 只放质数+3开头的题号,除了自己的phrase,每题的每个 02/28 09:51
45F:→ TellthEtRee: 选项的单字也要全部换成随机单字才安全 02/28 09:51
46F:推 tcn1john: 把资讯藏在照片档案里好像不错 实体就微缩底片 02/28 11:53
47F:推 DarkerDuck: 图片档的exif和影片mkv档都可以埋data进去 02/28 12:15
48F:→ DarkerDuck: 扫描偷私钥的工具应也不会去扫这些档案副档名 02/28 12:16
49F:→ DarkerDuck: 而且档案太大,会太浪费时间 02/28 12:17
50F:→ DarkerDuck: 存进去的单字再换顺序和插入无关单字就很安全了 02/28 12:18
51F:推 camellala: 推TellthEtRee的方法 02/28 12:19
52F:→ DarkerDuck: 或是直接用专用的data embedding工具塞到图片和影片里 02/28 12:20
54F:→ tcn1john: 这些藏私钥的方法基本上都可以归类成 Steganography 02/28 16:07
55F:推 bestgoose: 网路上买个钛金属片,找个有雷射雕刻的创客工坊 03/01 11:46
56F:→ bestgoose: 用自己能理解的seed phrase刻上去 03/01 11:47
57F:推 takahashikag: 把短语转成二进位刻在墙上或刺青在手上 03/01 20:47
58F:→ hn880265: 拆成三组密码日常用不难记吧 我都背的起5组8位英数密码 03/03 00:52
59F:→ hn880265: 了 03/03 00:52
60F:→ hn880265: 要不然跟部a片用7z中文密码加密传云端XD 03/03 00:54
61F:→ hn880265: 用16进位编辑器藏在影片档档尾 加上中文密码云端备份 03/03 00:56
62F:→ hn880265: 档名取全裸家政妇生中出之类的… 03/03 00:57
63F:推 mike0608: 其实上面很多都是把单字在用自己的手段加密後储存 只是 03/04 23:23
64F:→ mike0608: 加密手法不同 这样只要记得加密手法就好 其实网路上很多 03/04 23:23
65F:→ mike0608: 加密传输原理就是这样啊XD 明明明码但是是加密过的 03/04 23:23