Безопасность

Аудиты и код

Вот наша позиция по аудиту, изложенная прямо. Мы предпочли бы вложить наш бюджет и внимание в архитектуру, которую вы можете проверить, а не в сертификат.

Был ли код Ownbit проаудирован?

  • Ownbit не заказывал отдельный коммерческий (платный) аудит и не планирует.
  • Кодовая база зрело работает в продакшене годами.
  • Она прошла проверку безопасности с несколькими ведущими ИИ-моделями.
  • Ончейн-контракты мультиподписи публичны для проверки любым по адресу github.com/bitbill/ownbit-multisig-contracts.

Что мы не заявляем: ISO 27001, SOC 2 или сторонние аудиты от таких фирм, как CertiK, SlowMist или Trail of Bits; заказанные клиентами аудиты под NDA; или воспроизводимые сборки. Мы предпочитаем быть честными о том, что существует, а не намекать на сертификат, которого у нас нет.

Почему клиент с закрытым исходным кодом

Сохранение закрытости клиентского приложения — это осознанное проектное решение. Неясность повышает стоимость атаки на него, и — что критически важно — ваши средства никогда не зависят от секретности клиента. Безопасность держится на открытых криптографических стандартах и публичных ончейн-контрактах, которые вы можете проверить независимо, а не на сохранении клиента в секрете.

Что действительно открыто и проверяемо

  • Ончейн-контракты мультиподписи, управляющие средствами — открытый исходный код, и вы можете подтвердить, что контракт по вашему адресу совпадает с ними, в обозревателе блоков.
  • Кодировка QR-подписи — опубликована по адресу bb_sign_encoding.txt, чтобы вы могли декодировать любой QR подписания в открытый текст.
  • Соответствие стандартам — импортируйте стандартный сид и подтвердите, что Ownbit выводит те же адреса (BIP32/39/44).
FAQ

Часто задаваемые вопросы

Проходил ли Ownbit аудит безопасности?

Не платный коммерческий аудит, и он не планируется. Вместо этого: годы зрелой эксплуатации в продакшене, проверка безопасности с несколькими ведущими ИИ-моделями и публичные ончейн-контракты мультиподписи, которые любой может проверить.

Является ли Ownbit программой с открытым исходным кодом?

Ончейн-контракты мультиподписи имеют открытый исходный код. Клиентское приложение намеренно закрыто — проектное решение, повышающее стоимость атаки, тогда как безопасность ваших средств держится на открытых стандартах и публичных контрактах, а не на секретности клиента.

Почему бы просто не получить аудит от CertiK или SlowMist?

Мы предпочли бы вложить бюджет и внимание в архитектуру, которую вы можете проверить сами, а не в платный сертификат. Мы не заявляем о каком-либо стороннем аудите.

Обновлено:

Скачать

Скачать Ownbit

Установите приложение и настройте холодный кошелёк или мультиподпись под нужный вам сценарий.