xPub bei BlueWallet gescannt

Hallo ihr Lieben,
ich wollte die BlueWallet App verwenden um meine Bestände bzw. Adressen von meiner bitbox02 zu tracken (watch only). Dafür habe ich zunächst einfach den xPub gescannt, was ja an sich auch super funktioniert, um sich die gesamten Bestände aller Adressen anzeigen zu lassen. Leider habe ich erst danach gelesen, dass das aus Sicht der Privatsphäre nicht sonderlich clever war. Habe mich dann dazu entschieden, alles zu löschen und lieber die einzelnen Adressen zu scannen, auf denen Bestände liegen.

Nun zu meiner Frage: Kennt nun also die BlueWallet Node alle meine zukünftigen generierten Adressen bzw. gesamten Bestände und wie ungünstig wäre das? Klar bin ich immer noch pseudonym aber ich ärgere mich dennoch den xPub überhaupt eingegeben zu haben… würde irgendjemand dazu raten einen neuen Account mit neuem xPub zu erstellen und alle Bestände rüberzuschieben oder mach ich mir zu viele Gedanken?

Schonmal vielen Dank im Voraus und alles Gute!
peace

Du hast den QR Code gescannt, also kennt bzw. kannte BW deinen xPub. Die Frage ist, ob BW im Hintergrund geschafft hat, den Key „nach Hause“ zu kommunizieren. Das wird sich wahrscheinlich schwer rausfinden.

Übriegens ist hier ein guter Artikel dazu OpSec am Smartphone? Ein Vergleich mobiler Bitcoin-Apps - BTC21

Ich vermute nicht, dass die Bluewallet App standardmäßig den xpub an die Node weitergibt.

Nach meinem Verständnis werden nur die ersten Adressen deines xpubs der Reihe nach bei der Node nach evtl. vorhandenen UTXOs abgefragt. Nach den ersten x leeren Adressen bricht die Abfrage dann ab (gap limit).

Die Node kennt also bisher sehr wahrscheinlich nur einen Haufen der ersten Adressen deines xpubs.

Natürlich könnte die Bluewallet App unabhängig davon den xpub trotzdem zu „Marktforschungszwecken“ oder was auch immer nach Hause schicken.

Und man könnte bösartigerweise wahrscheinlich den xpub auch aus der Smartphone App auslesen.

Die Frage musst du am Ende leider für dich allein beantworten. Du hast dich ja schon mit der Materie beschäftigt, weißt also es welche prinzipiellen, sehr unwahrscheinlichen Bedenken es bzgl. Privacy und Sicherheit gibt (z.B. hier).

Prinzipiell gibt es vom Typ her wahrscheinlich „Accounts für Daily Transactions“ und „Hodl-Accounts“.

Bei einem Account für häufigere kleine Transaktionen wären die Sicherheits-Bedenken egal. Dafür wäre eher die Privacy relevant, da man sehen würde mit wem man alles Transaktionen durchführt (Bezahlen, Freunde etc.).

Bei einem Hodl-Account würde der Mangel an Privacy hingegen bedeuten, dass jemand dein Vermögen kennt. Die Sicherheits-Gedanken wären evtl. auch relevanter; über die kann man sich aber sowieso streiten.

Sehr interessante Zusammenfassung, danke!

Vor allem der 21analytics.ch Tracker bei Bluewallet ist seltsam. Auf deren Seite steht:

Easy Travel Rule Compliance That Protects Your Data.

Our software solution ensures compliance regardless of your counterparty.
We highly value Data Protection. None of your data is shared with us.

Ist mir nicht ganz klar, was die machen.

Danke für eure Gedanken und Links. sehr cool!

Eine theoretische Frage hätte ich noch: Wenn ich auf meinem aktuellen bitbox02 Account eine Passphrase (25. Wort) aktiviere und (fast) alles rüber schicke, hab ich ja an sich nen neuen xPub und kann alles weitere, inklusive meiner alten Passphrase (24 Wörter) und Backup etc., so lassen wie es ist, richtig?

Richtig!

Passphrase ist halt eine komplexe Geschichte für sich. Aber wenn du weißt, was du tust, eine gute Sache.

Die Passphrase dann am besten auch redundant sichern.

→ Optionale Passphrase ("25. Wort") - Braucht man das wirklich?

Ja, Danke. Ich habe mich bereits länger damit beschäftigt bzw. schon länger darüber nachgedacht. War aber auch, wie gesagt, eher ein theoretischer Gedanke ob ich so, neben allen anderen Aspekten, mein oben beschriebenes kleines „Kompromittierungsproblem“ lösen könnte.