安全
审计与代码
这是我们的审计立场,明说于此。我们宁愿把预算与精力投入到你能验证的架构上,而不是一张证书上。
Ownbit 的代码经过审计吗?
- Ownbit 没有委托单独的商业(付费)审计,也不打算做。
- 代码库已在生产环境成熟运行多年。
- 它经过了多个领先 AI 模型的安全审查。
- 链上 MultiSig 合约是公开的,任何人都可在 github.com/bitbill/ownbit-multisig-contracts 审查。
我们不主张的是:ISO 27001、SOC 2,或来自 CertiK、SlowMist、Trail of Bits 等机构的第三方审计;受 NDA 约束的客户委托审计;或可复现构建。我们宁愿如实说明存在什么,也不去暗示一张我们并不持有的证书。
为什么客户端是闭源的
让客户端应用保持封闭是一个刻意的设计选择。隐蔽性抬高了攻击它的成本,并且——关键在于——你的资金从不依赖客户端的保密。安全建立在开放的密码学标准与公开的链上合约之上,二者你都可以独立验证,而不建立在客户端保持机密之上。
真正开放且可验证的是什么
- 治理资金的链上 MultiSig 合约——开源,你可以在区块浏览器上确认你地址处的合约与之相符。
- 二维码签名编码——公布于 bb_sign_encoding.txt,你可以把任何签名二维码解码为明文。
- 标准符合性——导入一个标准种子,确认 Ownbit 推导出相同的地址(BIP32/39/44)。
FAQ
常见问题
Ownbit 做过安全审计吗?
没有付费商业审计,也不计划做。取而代之的是:多年成熟的生产环境运行、多个领先 AI 模型的安全审查,以及任何人都能审查的公开链上 MultiSig 合约。
Ownbit 是开源的吗?
链上 MultiSig 合约是开源的。客户端应用刻意保持封闭——这是一个抬高攻击者成本的设计选择,而你资金的安全建立在开放标准与公开合约之上,而非客户端的保密。
为什么不直接做一次 CertiK 或 SlowMist 审计?
比起一张付费证书,我们宁愿把预算与精力投入到你能自行验证的架构上。我们不主张任何第三方审计。