Hallo zusammen,
Ich habe mich gefragt bzw. würd gern wissen, ob ihr ggfls. Infos darüber habt, wie die wirklich Großen bzw. die Wale ihre BTC’s aufbewahren.
Seitdem ich vor ein paar Wochen gehört hatte, dass der Hersteller der Chips in den BitBox alles so programmieren kann, dass es zu einem Transfer auf eine andere Wallet kommen kann, ohne das man was merkt, bin ich ehrlich gesagt sehr unsicher geworden.
Daher meine konkrete Frage, ist das wirklich möglich, dass die Bitbox ohne das OKAY des Eigentümers transferieren kann???
Und wie haben die Großen gesichert???
Die Software der Bitbox ist open source. Jeder kann den Code verifizieren.
Wenn du es nicht selbst kannst/möchtest, dann musst du drauf vertrauen, dass es andere getan haben.
Wenn du 100% sicher gehen möchtest, musst du den Code selbst verifizieren, da gibt es keine Alternative. Wenn du nach dem Prinzip „Don’t trust, verify“ gehen möchtest.
Da das aber nicht für jeden (mich auch nicht) in Frage kommt, muss man akzeptieren, dass man an irgendeinem Punkt einfach vertrauen muss.
Kurz: Ja, die Bitbox ist sicher.
Bei wirklich großen Summen würde ich mich aber nicht auf ein Gerät verlassen. Die Gefahr einer 5$-Wrench-Attacke wäre mir zu groß.
Ich würde mit Multisignatur arbeiten und die Signer so verteilen, dass ich selbst gar nicht die Möglichkeit hätte, einfach eine Transaktion durchzuführen.
Ich wage zu bezweifeln, dass es „geheime“, bessere Lösungen gibt als die bekannten Hardware Wallets.
Sicher, es gibt im Geschäftsbereich andere Lösungen, aber die sind eher darauf ausgelegt, dass mehrere Mitarbeiter sicher Zugriff auf Coins erhalten können.
Die größere Gefahr ist nicht die Hardware selbst, sondern der Nutzer.
Wenn du es wirklich ganz genau wissen willst, kannst du dir die Bitbox selbst zusammenstellen und bauen. Danach kopierst du den Code, verifizierst und flashst ihn auf deine Hardware.
So ist absolut keine Manipulation durch SC möglich.
Sicher den Aufwand nicht wert, aber möglich, da auch die HArdware open source ist.
Möchtest du die höchste Sicherheit für den „Otto-normal-Verbraucher“ würde ich aktuell zu einem Multisig Setup mit Coldcards greifen. Diese können so eingerichtet werden, dass sie selbst niemals mit einem Computer verbunden werden müssen.
Die Transaktionen werden von einer Softwarewallet angelegt, per SD-Karte auf die Coldcard geschoben, dort unterschrieben und dann wird nur die signierte Transaktion über eine Node deiner Wahl veröffentlicht. Bei dem Setup ist es nicht notwendig, dass der gesamte Code der Hardware verifiziert werden muss.
Allerdings machst du dir vermutlich zu viele Gedanken.
Geht es um gigantische Summen, könntest du auch mehrere IT-Sicherheitsprofis bezahlen, den Code zu verifizieren. Oder gleich eigene Hardware/Software zu entwerfen.