作者tcn1john (momo)
看板DigiCurrency
標題Re: [問題]面交比特幣的一點問題
時間Fri Nov 10 10:13:27 2017
※ 引述《NoNameL (名無乚)》之銘言:
: ※ 引述《Rokund (....)》之銘言:
: : 1. 三方詐騙
: 用圖解說一下
: A: 賣幣方 B: 買幣方 C: 詐騙者
: 中間的分隔線分別為A、B的視角
: 從全局看下去比較能清楚流程
: C:我想收購比特幣∣C:我想賣比特幣
: ∣
: A:我可以賣給你,價格20萬一枚。 ∣ B:我想買兩枚比特幣,請問價格多少?
: 請問你想買多少枚? ∣
: ∣
: C:我想買兩枚 ∣C:一枚20萬,請問你確定要買嗎?
: ∣
: A:好的,請先付款,我的帳戶是 ∣ B:對,所以總共是40萬
: 12345678,收到錢後給幣。 ∣
: ∣
: C:我馬上把錢匯過去 ∣C:OK,請把先把40萬匯到12345678
: B 把40萬匯到 12345678 (A的戶頭)
: C:我已經把錢匯過去了 ∣C: OK,請給我你的錢包地址
: 這是我的錢包地址abcdefg ∣
: ∣ B: 我的地址是hijklmnop
: A 把兩枚比特幣匯到 abcdefg (C的錢包)
: C拿了兩枚比特幣後落跑
: ∣ B: 在嗎?
: ∣
: ∣ B: 你匯出比特幣了嗎?
: ∣
: ∣ B: 幹! 我被騙了!! 報警
: ∣
: A: 幹! 我的戶頭怎麼被凍結了!? ∣
: 咦? 有人按電鈴說麥當勞歡樂送? ∣
: 我沒叫啊.... ∣
: ∣
感謝N大詳細解說
我的理解是,C基本上的角色只是一個橋樑,讓A說的話直接傳到B那邊
只有在最後關鍵時刻C把比特幣位置換掉,讓A的比特幣轉帳進入進自己的口袋
這其實有點類似通訊的中間人攻擊
解決方法之一就是加密
"
A要求C轉帳一個隨機數字,比方說四十萬台幣+自己的生日年分 (XD)
C在這個攻擊中不想暴露自己的台幣帳號(會被追蹤),只能要求B直接轉到A帳戶內
這時候這個金額只有A和B知道,他們可以用來加密 (共同秘密)
當A收到款項,要求C給他比特幣收款地址時,除了比特幣的地址 (明文)
還要再加上用共同秘密 (A收到的金額=B匯出的金額) 把這個地址加密
ie. 加密pdf, 加密壓縮檔, AES256加密檔...
這時候C就冏了,因為她不知道到底匯了多少$$
如果他隨便用一個金額加密他的地址 (C的生日)
A無法解密 (用B的生日) 出一模一樣的地址就不會匯出比特幣
"
以上AB要先了解這個流程才能運作,可以由A來提供這種額外驗證的選項
來聲明自己不是惡意的C
以上AB要先了解這個流程才能運作,可以由A來提供這種額外驗證的選項
來聲明自己不是惡意的C
以上AB要先了解這個流程才能運作,可以由A來提供這種額外驗證的選項
來聲明自己不是惡意的C
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.201.195
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1510280010
1F:→ tcn1john: 也沒有那麼麻煩啦~ 圖可以修阿XD11/10 10:18
2F:→ tcn1john: A就多說兩句話: 請你匯款不要匯整數,給我比特幣地址11/10 10:29
3F:→ tcn1john: 以及用匯款金額加密後的比特幣地址 這樣11/10 10:30
4F:推 mithuang: C只要找理由跟B說,匯款不要匯整數,請匯四萬零31元,然11/10 10:45
5F:→ mithuang: 後C把自己的地址用31加密給A就好11/10 10:45
6F:推 mithuang: 你的假設前提是A能直接跟B溝通,但其實沒辦法11/10 10:48
B如果匯指定金額給A,表示他只是一般交易方法,沒有照著這個協定走。
7F:推 mithuang: 問題是你沒辦法確定B是否知道這個機制存在,B可能只是個11/10 11:13
8F:→ mithuang: 買虛寶的人。11/10 11:13
9F:→ mithuang: 不要忘了B是由C挑的,你沒辦法選擇誰當你的B11/10 11:13
10F:→ mithuang: C可以在網路上任何平台找任何要買東西的人當B11/10 11:13
從A角度來看是這樣沒錯,好像沒有有效方法阻止C利用A的帳戶。
但是B可以用這個方法防止被三方攻擊,A可以用來讓B增加對自己的信任。
11F:推 ptt80357: 同樓上,根本解決辦法就是用公正第三方11/10 11:28
交易所什麼時候開啊,把USDT換台幣XDD
※ 編輯: tcn1john (123.194.201.195), 11/10/2017 11:55:16
12F:推 st945306: 原Po的意思應該是A跟C說不要匯整數,但多匯多少交給C決 11/10 11:55
13F:→ st945306: 定。如果C真的老實這樣跟B說,那最後的確可以解密驗證, 11/10 11:55
14F:→ st945306: 因為實際的金額只有AB知道。可惜C也不是省油的燈,他可 11/10 11:55
15F:→ st945306: 以看穿之後找個理由叫B零頭多匯多少,那ABC就都可以解開 11/10 11:55
16F:→ st945306: 了 11/10 11:55
我把前提複製三遍了~希望比較清楚一點
17F:推 NoNameL: 嗯,預防方式跟ssl一樣了,要把憑證放在第三方。 11/10 11:59
18F:→ NoNameL: 也就是說要有個機制,以及公正的第三方介入。 11/10 12:01
※ 編輯: tcn1john (123.194.201.195), 11/10/2017 12:08:37
※ 編輯: tcn1john (123.194.201.195), 11/10/2017 12:19:09
19F:推 casko: 如果雙方都開遠端桌面 監控轉帳'轉幣 不知道可不可行 11/10 13:25
20F:推 fire811: 這就是為什麼需要支付寶這種東西... 11/10 13:26
21F:→ fire811: 現在和你對話的人就是你的戶頭, 超級簡單.. 11/10 13:26
22F:→ fire811: 再詐騙最盛行的國家,就會發展出最厲害的防治工具 11/10 13:27
23F:→ fire811: 不是說中國多厲害多棒,但是不知道法規還是怎樣,台灣這塊 11/10 13:27
24F:→ fire811: 就是跟不上對岸 11/10 13:28
25F:推 NoNameL: 是法規問題,台灣對第三方支付這種東西的規定很嚴格。 11/10 13:30