看到一个帖子,认为Rabby并没有真正开源,因此无法真正信任这个钱包
这衍生出好几个问题可以思考:
- 是不是只有开源项目才能保障用户的安全?
- 开源项目难道就能够确保问题都被发现吗?会不会有类似隐藏了很久后门的事件(Linux发生过)
- 非开源项目可以透过什么方式来保障用户的安全?
- 如何确保这些方法是可信任的?
- 是否开源才算是公共物品,有没有可能部分隐藏不公开的公共物品,但又能被群众信任的?
欢迎大家提出想法,也许可以为公共物品辩证出新的思维也说不定
2 Likes
看了一下原帖,好像是说 Rabby 钱包虽然有一个开源的代码仓库但是有被隐藏一些关键的代码块,导致运行代码的人会报错。
开源项目因为代码透明,理论上可以通过社区审查和合作来发现并修复安全漏洞,因此被认为更安全。不过也取决于代码的质量、社区的活跃程度和维护者的反应速度。
回答「不是只有开源项目才能保障用户的安全?」这个问题
我认为并不!
开源项目的优势在于其代码是公开的,任何人都可以检查和审计,这增加了透明度和信任度。
但还是有会很多攻击方式,“供应链攻击”(Supply Chain Attack)。
hacker通过一些开源项目进行投毒,然后劫持大部分用户。
所以开源🟰安全,这件事是绝对不成立的。
1 Like
另外Rabby也解释了原因
而且提出了审计证明
所以问题转移到
人们是否可以相信审计证明
其实没有开源的钱包很多,特别在手机上,一旦出现大规模盗币事件,很容易会被指向项目方有没有监守自盗的可能
对项目的长期发展是很大的伤害
因此这类项目在发展初期,做好每一个步骤的信任度建立,事关长远发展
开源肯定是好事的。但是没办法,开源了也不能保证绝对的安全
所以还是用老牌的钱包靠谱。
不开源的项目违背了 Web3 的 Don’t trust, verify 原则,大家如果没有办法 verify,自然就是不可信的。
所以不是需要开源才能保证安全性,而是不开源,就不算是比较正统的 Web3 项目。
1 Like