安全
自行验证
你不必相信我们。安全模型中的每一条主张,你都能亲手核对——无需访问源码。下面是任何人都能运行的四项黑盒检查。
1. 解码二维码
借助 bb_sign_encoding.txt 中的规则,把任何签名二维码解码为明文,确认它只包含交易数据与一个签名——没有任何私密内容被夹带其中。
2. 测试签名的确定性
在 EVM 链(ETH、BSC 及同族)上,对同一笔交易签名两次——完全相同的签名表明使用了确定性 nonce(RFC 6979),它消除了基于随机性的隐蔽通道。无需访问源码。
在其他链上,原始交易在两次尝试之间会合理地不同,因此不应期望逐字节一致:BTC 可能选择不同的 UTXO,TRON 会打上新的过期时间,Solana 会嵌入一个全新的 recent blockhash。在那里,要核对的确定性是:对同一条消息,签名是可复现的。
3. 阅读合约
在 github.com/bitbill/ownbit-multisig-contracts 审查治理资金的公开 MultiSig 合约,并在区块浏览器上确认部署在你地址处的合约与之相符。
4. 验证标准种子导入
在离线手机上,用一个外部工具生成种子(助记词),确认 Ownbit 能导入它并推导出相同的地址——这证明它遵循 BIP32/39/44 而非专有算法。
FAQ
常见问题
没有源码,我如何验证 Ownbit?
运行四项黑盒检查:把签名二维码解码为明文、对同一笔交易签名两次并比对、阅读公开的链上合约,以及导入一个标准种子确认标准推导。
我如何核对签名是确定性的?
在 EVM 链上,对同一笔交易签名两次并比对——完全相同的签名表明使用了确定性 nonce(RFC 6979)。在 BTC、TRON 与 Solana 上,原始交易会在两次尝试之间变化(不同的 UTXO 选择、过期时间或 recent blockhash),因此要比对的是对同一条消息的签名,而非整笔交易。