Kritika a TORwalletről

Szerző: Vitalik Buterin

A lehető legegyszerűbben fogalmazva, az online bitcoin-tárcák családjának legújabb tagja, a TORwallet lényegében az Instawallet egy és bitcoin-keverő (ill. “-mosoda”, ahogy néha szintén nevezik) keveréke. Ahogyan az Instawallet, úgy ez is egy újabb, véletlen URL-t generál minden egyes új tárcához, plusz egy bitcoin-címet, amelyre küldheted a bitcoinjaidat az éppen aktuális tárca feltöltéséhez. Ha pedig szeretnél újra hozzájutni az ott elhelyezett bitcoinjaidhoz, akkor egyszerűen ellátogatsz újra ugyanarra az URL-re, megadod a címet, ahova utalni szeretnél, és ráklikkelsz a “Send Bitcoins”-ra. A tárca keverője pedig egyszerűen úgy működik, hogy bekeveri a bitcoinjaidat a közösbe, majd pontosan ugyanannyi, de a blokkláncban az eredeti bitcoinjaidhoz nem kapcsolódó bitcoint ad vissza helyettük. Így tehát a TORwallet feltörése nélkül közel lehetetlen lesz bárkinek is összekötni az eredeti bitcoinjaidat a helyettük kapott újakkal.

És bár első pillantásra ez így felettébb kényelmes megoldásnak tűnik, a hatékonysága már legalábbis megkérdőjelezhető. Már eleve félrevezető például az, hogy a TORwalletet “névtelen, keverő bitcoin-tárcának” nevezik; elvégre ennek olvastán azt várná az ember, hogy a tárca automatikusan, a háttérben, külön felszólítás nélkül, magától végezze el a keverést – a TORwallet esetében azonban szó sincs ilyesmiről. A tárca és a keverési funkció teljesen el van választva egymástól; a keverést a felhasználónak kézileg kell beindítania egy “mix coins” gombra kattintással – a szolgáltatás igénybevétele pedig a kevert bitcoinjai 3%-ába vagy 0,5 bitcoinba kerül aszerint, hogy melyik a nagyobb a kettő közül. Ez pedig erősen korlátozza a rendszer használhatóságát is, amennyiben valaki rendszeresen töltené a TORwalletjét új bitcoinokkal, amelyeket szintén szeretne mindig átmosni, de mégsem szeretne ezért egy 3%-os adót fizetni a megtakarításaiból.

Problémás továbbá a tárcának az Instawalletről koppintott biztonsági modellje is. Az URL jelszóként való használatának veszélye elég nyilvánvaló: bárki, aki hozzáfér a böngésződhöz, egyszerűen belenézhet az előzményeidbe, megnyithatja a tárcádat és pillanatok alatt kiürítheti. A tárca csak privát böngészőmódban való elérése (amit a Tor böngészőcsomagja alapból megold) is csak egy másik problémára cseréli fel ezt: ebben az esetben ugyanis azon főhet majd a fejed, hogy akkor mégis hova tedd, hol tárold azt a bizonyos, drága URL-t. Hogy ne találhassák meg olyan könnyen a potenciáis támadók, nyilván nem ártana titkosítani – ami pedig már nem több, mint felesleges túlkomplikálása a hagyományos, biztonságos tárcák (pl. Blockchain) által is használt felhasználónév/jelszó megoldásnál.

No persze ettől azért még nem lesz teljesen értéktelen és felesleges az Instawallet: kiváló megoldás például azoknak, akik épp csak most kóstolnak bele a Bitcoin világába, vagy egyszerűen nincs idejük egy haladóbb szolgáltatásnál való regisztráláshoz. Azonban maga az Instawallet is figyelmezteti a felhasználóit, hogy lehetőleg ne tároljanak ott némi aprópénznél több/nagyobb értéket. Ezzel szemben a TORwallet díjszabása igen erősen arra utal, hogy ők kifejezetten számítanak nagyobb, akár a 100$-os értéket is meghaladó betétekre – holott itt is igencsak megszívelendő lenne az Instawallet tanácsa.

A TORwallet mindkét kulcsfunkciójára vannak jobb alternatívák. Keverőnek ott van például a Bitcoin Fog, amely egyrészt olcsóbb is lehet (a keverés díja teljesen véletlenszerűen mozog 1 és 3% között), másrészt pedig a visszavonás minimuma is alacsonyabb (1 BTC, rögzített díj-összetevő nélkül), tárcának pedig a jóval izmosabb és megbízhatóbb Blockchain. Mi több, van igazi, valóban keverőtárcaként működő szolgáltatás is, jelesül az a bizonyos, híres-hírhedt feketepiaci aukciós oldal, Az ugyanis egy olyan keverőszolgáltatást használ, ami még az illegális ügyleteket lebonyolító felhasználók számára is kellően biztonságos, és rendelkezik egy teljesen alap tárca minden szükséges funkcionalitásával is (bitcoin-fogadás, -tárolás, -küldés).

És végül ott van még a bizalom problémájra is. Ahogy azt tudhatjuk a MyBitcoin és a Bitscalper példájából is, a kizárólag bitcoin-tárolással foglalkozó névtelen szolgáltatókban soha nem lehet megbízni, mivel bármely adott pillanatban többet nyerhetnek azzal, ha egyszerűen lelépnek az összes rájuk bízott vagyonnal, mint ha továbbra is rendesen és tisztességesen működtetnék a szolgáltatást. És bár néha akadhatnak azért megbízható névtelenek is, összességében a személyazonosságukat és elérhetőségeket nyíltan vállaló szolgáltatók általában mégis vonzóbbak, mivel a puszta tény, hogy ezen adataik alapján szükség esetén már rájuk lehet hívni a rendőrséget, már eleve nagyon sokat nyom a latban a becsületesség oldalán. A fent említett feketepiac például azért lehet megbízható a névtelensége ellenére is, mert ott csak néhány napig kell tárolniuk a pénzüket a felhasználóknak, és az oldal díjszabása révén a tulajdonosoknak is elég jó bevételi forrásaik vannak ahhoz, hogy érdemes legyen továbbra is tisztességesen viselkedniük. A TORwalletet azonban nem csak egy néhány napos, hanem nagyon is hosszútávú pénztároló szolgáltatásnak szánják a valós személyazonosságukat fel nem vállaló tulajdonosai, és így megbízhatóság szempontjából is a Bitscalperrel helyezték egy szintre magukat. És legalábbis egyelőre valószínűleg pontosan annyit is érdemelnek.

A TORwallet egyetlen igazi előnye tehát a többiekkel szemben (nem számítva az emlegetett feketepiacot és az ahhoz hasonlókat) a Toron keresztüli közvetlen, rejtett szolgáltatásként való elérhetősége. Ez azonban önmagában még nagyon kevés biztonság és megbízhatóság szempontjából is egyaránt. Jelentős előrelépés lenne például az, ha átállnának inkább a Blockchain-féle tárcabiztonsági modellre, ahol is minden tárcakezelés – titkosítás, számítások, stb. – kliensoldalon történik, és ha a keverést teljes egészében integrálnák a tárcakezelő rendszerbe, vagyis ha az azonnal és automatikusan megkeverné az egyes tárcákra utalt bitcoinokat, és ha ennek a díját is mérsékelnék egy kissé, mondjuk úgy 1-2% környékére. Így máris biztonságosabb és megbízhatóbb, valamint már valóban “keverő” is lenne a tárca. Az “URL jelszó helyett”-modellt is mindenképp el kell felejteniük. Lekerekítve tehát az egészet, jelenleg vannak sokkal jobb alternatívái is a TORwallet funkcionalitásainak.

Forrás: Bitcoin Magazine

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.