Bobby Lee的新钱包因不安全而受到批评

关键事实：

• 芭蕾是由中国交易所BTCC的联合创始人鲍比·李（Bobby Lee）创建的实体钱包。
• 钱包的私钥已预先记录在设备上，这种设计可能不安全。

大规模采用对于确保比特币的长期生存能力至关重要。但是，钱包是否应该牺牲资金的安全性而成为一种简单易用的设计工具？由鲍比·李（Bobby Lee）创造的钱包“芭蕾”在比特币社区中开启了这场讨论。 Lee是BTC China（BTCC）的联合创始人，这是该国的第一家公司。

芭蕾是一种易于使用的实物钱包，于上个月在Kickstarter上推出，并以类似于银行卡的设计脱颖而出。该项目网站将Ballet描述为“第一个使用多种货币的实体非电子钱包”。它为BTC，BCH，ETH和LTC等加密货币提供支持。

Ballet的目标是提供一种无需使用Internet（离线或冷）即可存储加密货币的设备，该设备易于新手使用。因此，它没有配置选项，也没有加密货币可操作。

该设备的发布之所以臭名昭著，是因为它是Bobby Lee的创造，他除了开始BTCC运营外，还是Litecoin创始人Carlie Lee的兄弟。作为推广芭蕾钱包的一种手段，这位高管在他的Twitter帐户上评测说，他同意与演员布鲁斯·威利斯（Bruce Willis）进行一次航班飞行，并与他就比特币和新钱包进行了对话。

在从#LA飞往＃上海的航班上，我很惊讶地看到#BruceWillis登上飞机，坐在我旁边，带着他的家人前往中国。 ????

我该怎么办？让我们来谈谈＃比特币我不太了解，所以向他介绍了$ BTC，并向他展示了我们的@BalletCrypto实物钱包。 pic.twitter.com/fektI7miCb

-李波（Bobby Lee）-芭蕾：简约雅致的钱包（@bobbyclee）2019年11月2日

但是，除了李的营销技巧外，比特币用户还批评钱包缺乏安全性。该设备使用其私钥（也称为恢复短语）进行预先记录。也就是说，公司会在用户获取设备之前生成私钥，并在交付时提供此数据。

诸如Alistair Milne，BTC Sessions小组乃至White Rabbit之类的知名比特币MKR-今年发现了Bitmain矿机的固件中的漏洞-都谴责钱包不提供管理加密货币所需的基本安全性。芭蕾舞用户必须依靠公司的透明度，这可能会导致信息泄漏或存储其私钥的数据。

为了进一步理解为什么芭蕾被认为是不安全的钱包，CriptoNoticias联系了Diego Gurpegui。这位工程师专门研究信息系统，并且是非政府组织阿根廷比特币的志愿者，在谴责该设备对其客户的危险性方面，是西班牙裔的声音之一。

人们是否真的在购买上面印有钥匙/种子的比特币钱包（超级大，不行）？ ????????

我可以相信像@BalletCrypto之类的东西正在被出售?????????。还有更多吗？
还有很多教育要做。

-Diego H.Gurpegui（@diegogurpegui）2019年11月2日

不信任的原因

钱包的私钥通常是在用户首次使用设备或平台时创建的。这些类型的钱包被称为非托管钱包，因为用户可以管理自己的私钥，因此可以完全控制自己的钱。创建这些工具是为了消除中介的使用。用户无需信任第三方（银行，公司或交易所），即可保护他们的操作，而可以执行和验证它们。

大多数有形钱包，例如Ledger，Trezor或Keepkey，都是非托管式钱包。因为他们试图为用户提供更大的安全性和隐私性。尽管Ballet也是一个实体钱包，但该公司以前是为其用户生成私钥的；因此，可以假设所有者不是唯一有权使用恢复短语的人。

在芭蕾钱包中，敏感数据已预先打印在设备上。资料来源：Balletcrypto.com

Diego Gurpegui指出，这是Bobby Lee钱包最大的漏洞。如果钱包的私钥是由公司创建的，则第三方可能会复制或过滤此类敏感信息。在这种情况下，钱包中的所有资金都会被盗用，因为恢复短语可以完全访问该设备。

当处理加密货币时，私钥是非常有价值的信息元素。在比特币中，这至关重要，因为它不仅可以保护信息，还可以保护金钱。传统上，比特币钱包在用户首次使用它们时会生成这样的密钥，这样可以避免第三方看到/复制它。芭蕾钱包带有在同一物理设备上雕刻/印刷的私钥，因此有可能被第三方看到甚至被复制。除了对公司及其对不会发生的承诺的信任和信任外，无法保证不会发生这种情况。在第三方世界中，使用第三方生成的私钥进行操作是非常糟糕的做法。

改进的联合创始人兼合伙人Diego Gurpegui。

芭蕾舞团指出，钱包恢复短语是通过2要素流程（2FKG）创建的，可确保你的隐私。该公司指出，该设备具有一个加密货币密钥（EPK）和一个恢复短语，这些组件是在数千公里外的不同位置生成的。

Gurpegui指出，尽管两个组件可以分别创建，但它们一起印在钱包中。对于他来说，此功能确认该设备不安全，因为用户必须继续依靠公司的口号而不是技术本身。

该公司还提到了一种称为“ 2-要素密钥生成”的安全功能，他们在其中解释说，访问最终密钥需要提供两条信息，这些信息据称是在生产过程中在不同位置生成的。但是，这两条信息都放在钱包中，我认为这对用户没有任何安全性。 “两因素”机制（两个因素）背后的思想是，为了访问受保护的信息，必须提供从两个单独的来源获得的信息。例如，当我们需要验证对具有加密货币和通过SMS收到的代码的帐户的访问权限（在此示例中，电话号码和加密货币是两个因素）。因此，这种称为“ 2要素”的机制并不能大大增强人们对公司的信心。

改进的联合创始人兼合伙人Diego Gurpegui。

“验证，不信任。”

Gurpegui说，芭蕾钱包违反了比特币社区的一项原则：“验证，不信任”。比特币区块链是去中心化的，私有的，公共的和不可变的，该功能允许用户在不依赖第三方的情况下执行或验证交易。这位专家说，比特币提供了一种以自给自足的方式管理我们的资金的可能性，而无需依赖中心化或知名的实体。

当然，芭蕾并不是第一个生态系统平台，其运作取决于第三方用户的信任，各种钱包和交易所所都在这种模式下运行。对于没有指定如何生成其客户私钥的公司的批评很多。 Gurpegui指出，通过不声明此类详细信息，大多数新手芭蕾用户将不会知道自己的资金会受到损害。

与比特币交易时，应避免信任第三方。在实践中，几乎不可能在任何给定时间都不信任第三方，但是想法总是将其最小化。私钥生成的这种情况太简单了，几乎不容忽视。

Gurpegui认为该应用程序存在设计缺陷，因为它希望提供易用性以换取安全性。从这个意义上讲，它认为该设备在生态系统中促成不良实践，并且可能造成更多损害，而不是给用户带来好处。他还指出，芭蕾舞团可能会两次失败，因为目前有几个项目在不破坏资金安全性的情况下开发简单的产品：

从根本上说，问题的根源在于没有必要做出糟糕的设计决策。我们所处的场景没有更好的解决方案，而恰恰相反。有而且它们并不复杂。如果目标是推出一个简单的实体钱包，OPENDIME就是一个很好的例子，说明如何以一种好的方式完成它。如今，钱包产品不应将用户的私钥置于危险之中。 （…）令人惊讶的是，具有这种设计和解决方案体系结构的该产品在整个行业的支持下，证明了有更好且行之有效的道路，而不必失败比特币最基本和最重要的原理。

诚然，加密货币生态系统的挑战之一是开发可供所有人使用的工具。很大一部分人不了解比特币的工作原理，因此具有简单接口的钱包使其使用起来更加容易。但是，面对芭蕾之类的案件，社区指出，在比特币或其他加密货币的管理中不能牺牲安全性，以促进更大的采用率。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。