作者ProtectChu56 (Eric P. Chu)
看板DigiCurrency
標題[閒聊] Coinomi錢包支援XMR和安全性爭議
時間Wed Feb 27 19:50:44 2019
講重點:
1.Coinomi最近版本正式支援XMR了
2.Coinomi被某些國外鄉民指控有嚴重安全性漏洞,且聲稱已被盜
第2點真假不明,請版上高手評論。
討論串:
https://twitter.com/lukechilds/status/1100613365850767360?s=21
http://tinyurl.com/y3cthhe5
以我看的似懂非懂,大意是有人拍影片指控 桌面客戶端的Coinomi
會在輸入階段,透過Googles remote spellchecker API
發送seed phrase出去
這會導致google員工可以知道你的種子短語,而原始作者聲稱因此已經被盜
這聽起來很恐怖,而手機客戶端由於是閉源,是否存在相同漏洞?
--
題外話:
自從大量ETH套牢在500樓後
就把一些Token和ETH全鎖在一隻只裝Coinomi的除役手機中 眼不見為淨
最近發現 Coinomi正式支援Monero(XMR),想說乾脆也丟在一起保管
直到看到這新聞,Coinomi採取冷處理與刪文,使人信心嚴重下降
上一次就是jaxx採取這種態度讓我轉向Coinomi,想不到......
算一算如果把XMR和ETH生態系的價值合計,也是一筆不小的數字
冷儲存也該用硬體錢包比較安心
但硬體錢包一直有個疑慮困擾著我
先前沒有購買硬體錢包,就是考慮到硬體錢包的種子(seed phrase)
必須不透過電腦操作、不存雲端,只以手寫保存在紙張,才有真正接近0暴露風險
那「如果硬體錢包和seed phrase一起被火災燒了怎麼辦?」
(當然能異地保險箱儲存 或 可以牢牢背住24字短語的人沒有這些問題,顯然我不能)
不知道有用硬體錢包大量儲存的前輩,如何規劃火災的風險?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.50.100
※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1551268249.A.F5F.html
1F:推 DarkerDuck: Coinomi本身沒有OpenSource,其實安全性無法公開檢驗 02/27 20:01
2F:→ DarkerDuck: seed phrase異地備援又不難 02/27 20:03
3F:→ DarkerDuck: 公司or學校,自己家,老家都放seed phrase筆記本就好 02/27 20:04
4F:→ DarkerDuck: 我seed phrase都用自己才知道的規律寫在用過的筆記本 02/27 20:04
5F:→ DarkerDuck: 就算別人看到了,只會覺得這本用過筆記本根本沒啥好看 02/27 20:05
版主484歧視SOHO族喇
6F:→ DarkerDuck: 或是乾脆隨身攜帶在皮包裡,用擦擦筆寫在名片上 02/27 20:07
7F:→ DarkerDuck: 擦掉後變空白,以後要看再拿去冰箱復原就好 02/27 20:08
[方法1] 變色筆放錢包帶在身上
8F:推 ketao: 對岸的cobo錢包有出防水耐酸的金屬助記詞板 預算夠多可以 02/27 20:12
9F:→ ketao: 考慮 02/27 20:12
金屬註記版好貴喔
10F:推 tcn1john: 怕.jog 我也放了不少在手機coinomi錢包裡 02/27 20:25
我已經不知道該相信誰了
11F:推 leftc: 私鑰會經過第三方API就已經不安全了,它甚至是用明文傳輸 02/27 20:27
12F:→ leftc: 請別人幫忙檢查私鑰拼字跟把提款密碼借別人測試有87成像XD 02/27 20:31
所以說XMR+ETH能同時存的軟體錢包現在誰可信度高一點呀?
13F:推 darkdixen: 當然是買個一打硬體錢包 把資產分成12等分 埋在12個不 02/27 20:33
14F:→ darkdixen: 同的所在(? 02/27 20:33
多買幾組埋公園土裡,喂
15F:推 word2010a: 我曾經想過把24個字其中一個背下來,剩下的拆成幾段, 02/27 20:39
16F:→ word2010a: 在網路上各地備份,紙本也到處備份,不過我覺得最大的 02/27 20:39
17F:→ word2010a: 風險是我的記憶,雖然只是一個字orz 02/27 20:39
18F:推 mithuang: 說真的,24個單字沒那麼難背,你讀書的時候都背幾千個單字 02/27 20:42
19F:→ mithuang: 了,passphrase列表都是簡單的單字,一定都背過,只是要把 02/27 20:42
20F:→ mithuang: 順序記下來而已,真的沒那麼難。出社會了很少在背東西,但 02/27 20:42
21F:→ mithuang: 這種程度的背誦,比起學生考試要背的東西實在簡單太多倍 02/27 20:42
22F:→ mithuang: 了。備份要備,但記也是得記的。人生有一堆考試都在考了, 02/27 20:42
23F:→ mithuang: 這種一生背一次就好的東西偏偏不試著去記,是不是太奇怪 02/27 20:42
24F:→ mithuang: 了? 02/27 20:42
火災後創傷失意一部分怎麼辦
25F:→ DarkerDuck: 真的要玩的話可以用多簽地址,10-of-20 multisig 02/27 20:47
26F:→ DarkerDuck: 20份私鑰到處丟,只要能找到10份私鑰就可以拿到大祕寶 02/27 20:48
28F:→ DarkerDuck: 與私鑰共存亡 02/27 20:51
......
29F:推 TellthEtRee: 去網路找一份英文考卷word檔,把第1題到第24題的A選 02/27 21:08
30F:→ TellthEtRee: 項改成seed phrase再傳到雲端硬碟,檔名改為我的智障 02/27 21:08
31F:→ TellthEtRee: 考卷 02/27 21:08
[方法2] 雲端偽裝文檔,覺得這是本日最佳解
32F:推 trleee: 私鑰記得加密或自己加鹽 絕對不要明文 02/27 21:22
現在就是用keepass加上強密碼在雲端備份
但我覺得硬體錢包還這樣搞有點失去意義
※ 編輯: ProtectChu56 (220.135.50.100), 02/27/2019 21:26:16
33F:推 Ayukawayen: 如果和別人撞考卷就共享私鑰了 02/27 21:30
34F:推 john801110: 多抄幾份阿 然後放不同地方 02/27 22:13
35F:推 currit: 刺青在身上...... 02/28 05:20
36F:推 vvind: 拆開放不同地方就好了,不管是實體還是非實體 02/28 09:23
37F:→ vvind: 當你自己要取回都麻煩時,愈麻煩愈安全 02/28 09:23
38F:推 TellthEtRee: 再提供一招 私鑰直接抄下來,但最後10碼反序抄 也是 02/28 09:36
39F:→ TellthEtRee: 大剌剌放雲端 02/28 09:36
40F:→ TellthEtRee: 然後錯的私鑰對應位址也放一點微量幣 當煙霧彈 02/28 09:39
41F:推 TellthEtRee: 如果是印QR code的人 可以先鏡像再印出來 多一層保護 02/28 09:45
42F:→ TellthEtRee: ,還原時用鏡子還原 02/28 09:45
43F:推 TellthEtRee: 我考卷只是舉例阿,你也可以找一份考卷有200題,然後 02/28 09:51
44F:→ TellthEtRee: 只放質數+3開頭的題號,除了自己的phrase,每題的每個 02/28 09:51
45F:→ TellthEtRee: 選項的單字也要全部換成隨機單字才安全 02/28 09:51
46F:推 tcn1john: 把資訊藏在照片檔案裡好像不錯 實體就微縮底片 02/28 11:53
47F:推 DarkerDuck: 圖片檔的exif和影片mkv檔都可以埋data進去 02/28 12:15
48F:→ DarkerDuck: 掃描偷私鑰的工具應也不會去掃這些檔案副檔名 02/28 12:16
49F:→ DarkerDuck: 而且檔案太大,會太浪費時間 02/28 12:17
50F:→ DarkerDuck: 存進去的單字再換順序和插入無關單字就很安全了 02/28 12:18
51F:推 camellala: 推TellthEtRee的方法 02/28 12:19
52F:→ DarkerDuck: 或是直接用專用的data embedding工具塞到圖片和影片裡 02/28 12:20
54F:→ tcn1john: 這些藏私鑰的方法基本上都可以歸類成 Steganography 02/28 16:07
55F:推 bestgoose: 網路上買個鈦金屬片,找個有雷射雕刻的創客工坊 03/01 11:46
56F:→ bestgoose: 用自己能理解的seed phrase刻上去 03/01 11:47
57F:推 takahashikag: 把短語轉成二進位刻在牆上或刺青在手上 03/01 20:47
58F:→ hn880265: 拆成三組密碼日常用不難記吧 我都背的起5組8位英數密碼 03/03 00:52
59F:→ hn880265: 了 03/03 00:52
60F:→ hn880265: 要不然跟部a片用7z中文密碼加密傳雲端XD 03/03 00:54
61F:→ hn880265: 用16進位編輯器藏在影片檔檔尾 加上中文密碼雲端備份 03/03 00:56
62F:→ hn880265: 檔名取全裸家政婦生中出之類的… 03/03 00:57
63F:推 mike0608: 其實上面很多都是把單字在用自己的手段加密後儲存 只是 03/04 23:23
64F:→ mike0608: 加密手法不同 這樣只要記得加密手法就好 其實網路上很多 03/04 23:23
65F:→ mike0608: 加密傳輸原理就是這樣啊XD 明明明碼但是是加密過的 03/04 23:23