Безопасность

Проверьте сами

Вам не обязательно верить нам. Каждое заявление в модели безопасности — то, что вы можете проверить вручную — без доступа к исходному коду. Вот четыре проверки «чёрного ящика», которые может провести каждый.

1. Декодируйте QR

Используя правила из bb_sign_encoding.txt, декодируйте любой подписывающий QR в открытый текст и убедитесь, что он содержит только данные транзакции и подпись — ничего приватного, проведённого контрабандой.

2. Протестируйте детерминизм подписания

На EVM-сети (ETH, BSC и семейство) подпишите одну и ту же транзакцию дважды — идентичная подпись указывает на детерминированный нонс (RFC 6979), что устраняет скрытый канал на основе случайности. Доступ к исходному коду не нужен.

На других сетях необработанная транзакция закономерно различается между попытками, поэтому побайтового совпадения не ожидается: BTC может выбрать разные UTXO, TRON ставит новое время истечения, а Solana встраивает свежий недавний blockhash. Там детерминизм, который следует проверять, — это то, что подпись воспроизводима для идентичного сообщения.

3. Прочитайте контракты

Просмотрите публичные контракты мультиподписи, которые управляют средствами, на github.com/bitbill/ownbit-multisig-contracts, и убедитесь, что контракт, развёрнутый по вашему адресу, соответствует им, в обозревателе блоков.

4. Проверьте импорт стандартной мнемонической фразы

На офлайн-телефоне сгенерируйте мнемоническую фразу внешним инструментом и убедитесь, что Ownbit её импортирует и выводит те же адреса — доказывая, что он следует BIP32/39/44, а не проприетарному алгоритму.

FAQ

Часто задаваемые вопросы

Как я могу проверить Ownbit без исходного кода?

Проведите четыре проверки «чёрного ящика»: декодируйте подписывающий QR в открытый текст, подпишите одну и ту же транзакцию дважды и сравните, прочитайте публичные ончейн-контракты и импортируйте стандартную мнемоническую фразу, чтобы подтвердить стандартную деривацию.

Как проверить, что подписание детерминированное?

На EVM-сетях подпишите одну и ту же транзакцию дважды и сравните — идентичные подписи указывают на детерминированный нонс (RFC 6979). На BTC, TRON и Solana необработанная транзакция меняется между попытками (разный выбор UTXO, время истечения или недавний blockhash), поэтому сравнивайте подпись для идентичного сообщения, а не всю транзакцию.

Обновлено:

Скачать

Скачать Ownbit

Установите приложение и настройте холодный кошелёк или мультиподпись под нужный вам сценарий.