Bitbox02 Empfangs-Addressen mit BlueWallet erzeugen

Hallo zusammen,

Nachdem es für die BitBox leider keine Möglichkeit für die Nutzung von iOS-Geräten gibt, muss ich aktuell immer auf meinen Rechner ausweichen um die BitBox App zu verwenden.

Um den aktuellen „Kontostand“ der Bitbox auf dem iPhone ansehen zu können, habe ich mir in der BlueWallet-App eine „watch-only“ Wallet importiert, indem ich den xPub der BitBox verwendet habe.
Das funktioniert prima und man ist trotz iOS immer auf dem aktuellen Stand, ohne ein größeres Sicherheitsrisiko zu haben, da nur xPub in der BlueWallet-App bekannt, private Keys sind nur bei mir bzw. auf der BitBox02.

Wo es allerdings unpraktisch wird ist, wenn man Bitcoins empfangen will, z.B. von der Börse gekaufte Bitcoins auf die eigene HW-Wallet (Bitbox) auszahlen.
Aktuell muss ich dazu immer an den Rechner und dort Bitbox anschließen, entsperren, Empfangsadresse generieren und dann kann „überwiesen“ werden.

Eigentlich müsste es doch auch möglich sein, anhand des xPub neue Empfangsadressen zu generieren. Mein Gedanke war, dass das ja auch in der BlueWallet gehen müsste, ohne dass ich überhaupt die BitBox-Hardware in die Hand nehmen muss. Natürlich bei jeder Transaktion idealerweise immer neue Empfangsadressen.

Hat das jemand von euch schonmal so versucht in der Kombi BitBox02+BlueWallet?
Funktioniert das zuverlässig und werden korrekte Adressen generiert?
Gabs hier bei euch schonmal Probleme mit dem Vorgehen?
Gibt es Sicherheitsbedenken an so einem Vorgehen, ggf. auch gegen die xPub-Verwendung in der BlueWallet?

Danke euch!

1 „Gefällt mir“

Das ist auch so. Genau das ist der Zweck eines Xpubs. BlueWallet erzeugt nur unbenutzte Adressen, sofern BlueWallet alle Transaktionen bis dahin bekannt sind.

Ja.

Ja, wenn man alles richtig macht. (Wenn die erste(n) Adressen identisch sind kannst du davon ausgehen).

Nein.

Wer deinen Xpub kennt, kennt deine Transaktionshistorie.

Wer deinen Xpub und einen verwendeten private key kennt, kann theoretisch auch die anderen private keys erzeugen. (Das habe ich auch nur aufgeschnappt, und kann es weder begründen noch erklären).

Wer dir glaubhaft machen kann, dass die Adresse die du siehst aus deinem Xpub erzeugt wurde, könnte Geld abgreifen. Angenommen deine Wallet (BlueWallet) wäre gehackt, dann könnte dir ein Angreifer beliebige Adressen zeigen, ohne dass du Verdacht schöpfst.

Deine Gedanken zum Vorgehen sind vollkommen richtig. Ich mache das ähnlich. Ich verwende den Xpub auf BlueWallet als einen Faktor, überprüfe die generierte Adresse aber noch auf einem zweiten, unabhängigen Weg. Ein Angreifer müsste also gleichzeitig meine beiden Faktoren kompromittieren. Für den Zweck könnte man z.B. eine Desktop Applikation nehmen, oder ein zweites, ausrangiertes Handy ohne Internetverbindung, oder eben das Hardware Wallet selbst, oder eine ausgedruckte Liste, etc. Da gibt es viele Möglichkeiten. Einfach mal den worst-case durchspielen.

6 „Gefällt mir“

Hi @Makowski ,

Klasse, danke dir für die ganzen Info und die Bestätigung meiner Gedankengänge :wink:

Der Punkt mit den gehackten Adressen ist natürlich plausibel, da hast du recht. Im Prinzip verlässt man sich drauf, dass derjenige dem man den xPub gibt (BlueWallet) vertrauenswürdig arbeitet und korrekte Adressen ausspuckt. Doppelt geprüft hält da vermutlich besser :wink:
Könnte ja mit Handy und tablet machbar sein und ggf. Noch unterschiedlichen wallet Apps.

Mir ist noch eine Frage eingefallen:
Wenn die xPub wallet in BlueWallet eingerichtet ist, kennt BlueWallet ja auch alle bisherigen eingehenden Transaktionen. Damit müsste die App ja sogar die nächste unbenutzte Empfangsadresse ermitteln können, oder?

Ja, das ist korrekt.