苹果应用商店频现山寨比特币钱包，盗取用户两万美金，是开源的错吗？

　　根据苹果(Apple)内部报告显示，其应用商店中出现了大量知名的比特币钱包山寨版。部分山寨钱包简直和正版的一模一样，主要用于盗取用户的比特币。在苹果彻底移除这些App之前，用户已经损失近两万美金。

　　这些山寨App居然能如此轻松就实现开发和传播，其“成功”不禁让人质疑比特币免费、开源的特性究竟是好是坏。大部分比特币钱包都是开源的，也就是说，任何人都能对其进行验证和维护。但从另一个角度来看，骗子也能轻易获取软件信息，只要稍作修改就能非法盗取资金。

　　比特币钱包Jaxx、以太坊以及达世币(Dash)都意识到了这一点，并做出了一些改变。举个例子，在Jaxx的网站上，所有代码都是公开的，但都是只读状态。任何人都有权检查代码，但是不能复制使用，或者说不能通过简单的复制粘贴盗用代码。

　　Jaxx首席执行官Anthony Di Iorio向Bitcoin Magazine解释道：

　　我们之所以这么做，部分原因是在于我们自己。因为我们是一家公司，公司肯定有运营成本，假如你免费贡献自己的代码，那么你根本赚不到钱。另一个原因是为了防止有人恶意模仿我们的钱包。作为一家公司，我们希望能提供质量管理服务，如果有人能轻松模仿你的产品，那就太失败了。我们一直试图在透明度和软件所有权之间寻找一个平衡点。目前我们已经在代码中嵌入特定的摩擦点来防止它被盗用。

　　山寨钱包事件的其中一个受害者就是GreenAddress。GreenAddress一直都是完全开源的，也就是说，其代码可以直接被复制使用。不过，GreenAddress开发者Lawrence Nahum还是一如既往地支持免费开源软件(FOSS)模式。

　　钱包代码开源的确会给山寨提供便利。但是即使某个钱包不是开源的，我认为它最终也很难逃脱被恶意山寨的命运。就算代码是只读模式，骗子还是能找到各种方法模仿你的钱包。而且，不公开源码也表示你的代码并没有经过详细审查，因此只会给人不够安全的印象。我认识的大部分开发者从来不直接在网页上审查代码。

　　但是，Di Iorio并不认为，设定代码使用权限就一定代表放弃详细审查或者安全性。

　　就算钱包是完全开源的，你也不能肯定你从应用商店里下过来的钱包用的是一模一样的代码。而且根本就没有多少人会在意。没有人会在下载钱包之前去反复核对代码。95%的用户都只需要一个可以使用的钱包，这跟开源还是不开源没什么关系。

　　苹果在收到比特币社区的投诉之后移除了这些山寨钱包。比特币社区的行动和苹果官方的审查制度及时阻止了山寨钱包带来的长期危害。

　　但Nahum认为这种解决方案也不是长久之计。

　　苹果就像是一个有围墙的花园，并不会扩展规模，因此必须有专人负责审核每个载入应用商店的软件。恶意软件也会更新升级。虽然目前有经验的bitcoiner还是能够识别盗版软件的，但未来某些软件可能根本不用山寨也能实现其邪恶的目的。

　　Nahum说，就目前的情况来看，万全之策还不存在。用户只能自己留心一些潜在的盗版软件，并且采取相应的措施。

　　只要我们一检测到恶意软件就会通知苹果。但我个人还是要建议大家在下载软件的时候还是要核实一下来源。看一下你认不认识开发者，还有评论是怎么说的，注意一下这个软件是否有提交到bitcoin.org。一定要多检查几次URL和软件名称，确保你下载的是正版软件。

—-

文章来源：http://www.8btc.com/open-source-enable-bitcoin-stealing

原文链接：https://bitcoinmagazine.com/articles/does-the-open-source-model-enable-bitcoin-stealing-wallet-apps-1471355655

原文作者：Aaron van Wirdum

编译者/作者：Wendy

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。