catding

專業廢文作者、不專業場外交易商 想用LIKE換TWD歡迎點進來 興趣:調查、寫奇怪的文章、抓BUG

你的錢包不是你的錢包——LikerLand錢包的單點故障與安全問題

發布於
「使用加密貨幣錢包,自己的錢自己管」——技術上,LikeCoin錢包地址是這樣沒錯,但LikerLand錢包不是。

一般的加密貨幣錢包,需要用戶自行保管的私鑰來授權操作,只要區塊鏈運作正常,換個軟體也一樣能繼續使用。

但LikerLand的用戶在使用錢包功能時,只需使用如一般網站的帳號密碼或社群網站登入APP,不需要進行私鑰相關操作,那到底是怎麼進行交易的呢?

私鑰的儲存方式

實際上,用戶的私鑰由Authcore儲存在雲端,用戶登入後如果想進行交易,Authcore會替用戶使用私鑰對交易簽名確認。而Authcore會以特殊方式儲存私鑰,其與LikerLand都無法偷看用戶的私鑰。

要是LikerLand伺服器掛了?

但目前的LikerLand錢包無法讓用戶自行匯出私鑰,這會產生一個嚴重的問題——如果LikerLand伺服器出了狀況導致無法登入時,用戶就失去了對錢包地址的控制權。

雖然其他人依然無法盜用錢包地址內的資產,但用戶也無法將其取回。

社群登入的問題

除了直接使用帳號密碼登入,LikerLand也支援社群登入,由第三方網站證明你是你。假如這些網站作惡或是被人控制了,發出虛假的證明會如何?

在這種情形下,攻擊者可憑假證明裝作用戶,要求對交易簽名確認,實質掌控了用戶的資產控制權。

簡單整理

  • LikerLand伺服器掛掉、第三方網站掛掉:無法控制錢包地址,但其他人也無法盜用
  • 第三方網站作惡或被攻擊者控制:攻擊者可間接對錢包地址進行操作

有什麼替代方案?

自己建立一個錢包地址,然後把LIKE全部轉過去

目前所知的替代方案有:

  • Ledger硬體錢包
  • 自己架設一個節點

吐嘈

目前整個生態系中,對一般用戶而言能稱之為「去中心化」的部分,大概只有:

  • 使用LikerLand之外的錢包進行委託
  • 雙方都使用LikerLand之外錢包所進行的轉賬

喜歡我的文章嗎?
別忘了給點支持與讚賞,讓我知道創作的路上有你陪伴。

看不過癮?

一鍵登入,即可加入全球最優質中文創作社區