IOTA生态系统是我参与过的最有活力的生态系统之一。 许多才华横溢的开发人员正在开发令人兴奋的项目,以探索 tangle 的机会,而且有时候创新的水平让人感到惊讶。
然而有一个问题却让人疑虑重重,那就是如何对待第三方钱包?他们到底安不安全,可以不可以使用?
如何看待非官方钱包
钱包是每个加密货币的重要组成部分,因为它提供了访问个人资金的途径。通常我们需要有一个密钥才能登录钱包,在 IOTA 中,这个密钥被称为“Seed” 。
因此,你必须信任你的钱包软件,然后才能继续登录和使用该钱包。
最近,有用户丢失了 IOTA 资金,只因为他们使用了在线网站来创建他们的“Seed”,这几乎等于让陌生人来给你的银行帐户设置密码,甚至更危险,因为登录钱包不需要有实体银行卡和身份证件等其它认证条件。不仅在线网站会偷取你的 Seed,非官方钱包应用也存在这个风险。简而言之,这类网站或者 APP 可以将任何输入的 seed 转发给心存恶意的人,从而窃取你的资金。
由于上述原因,大多数第三方钱包开发人员为了证明自己的钱包是安全的而决定公布他们的源代码。不幸的是,这貌似并不能如愿:
提供代码并不意味着这个钱包应用已经由独立、可信的实体进行过审计。即使对于经验丰富的开发人员来说,迄今为止我们所看到的网络钓鱼尝试都非常复杂且难以察觉。
如果钱包是移动 APP,则几乎没有办法能够确保通过应用商店分发的二进制文件不是从篡改后的代码库构建的。
在 IOTA 官方社区中,第三方开发者公开要求 IOTA 基金会对第三方钱包进行审核并提供官方认证。但是目前为止,IOTA 基金会拒绝了此类要求,某些方面来说这是正确的:
- 首先,对复杂的代码库执行全面审计会消耗大量资源,IOTA 基金会应把有限的资源放在进一步开发核心技术上,而且基金会正在开发一款很棒的的官方钱包 (Trinity)并应将此视为问题的解决方案。
- 其次,一次性审计是不够的。理论上讲,对于同一款钱包,在每次新版本发布之前都应进行一次审计,所以实质上基金会根本无法承担这个长期的审计责任。
- 最后,可能会产生各种责任问题,而且各方都不能控制各方的潜在责任,没有人希望处于这种状况。比如,万一经过官方审计的第三方钱包出现资金被盗的情况,该由谁来承担责任?
好吧,还是这几条建议:
- 永远不要在线生成你的 Seed,也不要将其提交给任何第三方(不论是网站还是 APP)。
- 如果你使用的是非官方钱包,则需要你自担风险。
- “你是你自己的银行!”,一旦你的资金因为 Seed 泄露而被恶意转出并在 tangle 上得到确认,就没有人可以扭转,即使是 IOTA 基金会也不能而且也没有责任帮你找回被盗资金,因为 IOTA 基金会并没有随意控制 tangle 上用户资金的权力。
- 如果任何第三方钱包宣称得到了 IOTA 基金会的官方认可,请提高警惕,至少在本文写成之前,IOTA 基金会并没有公开认可过任何非官方钱包。
总之,小编的建议是:除非特殊情况,否则不要使用第三方钱包。要使用非官方钱包的话,也应该选择那些公认的具有公信力的第三方钱包,而且需要自担风险和责任。
官方钱包下载链接:
桌面版:https://github.com/iotaledger/wallet/releases
手机版:https://play.google.com/store/apps/details?id=org.iota.wallet
Trinity 钱包:还未发布,预计 2018 年第一季度发布。
小编最近收集的钓鱼网站/假冒钱包:
- iotaseed.co(钓鱼网站)
- iotaseed.io (钓鱼网站)
- iotaseed.me(钓鱼网站)
- iotaseed.net(钓鱼网站)
- iota-seed.info(钓鱼网站)
- iota-wallet.me(假冒钱包)
- iota-seed.net/2.5.7/(假冒钱包)
- iotaseedgenerator.online(钓鱼网站)
- trinitywallet.co (假冒 trinity 钱包)
原文链接:https://medium.com/%40ralf/the-state-of-third-party-iota-wallets-83f22b0d54c1
