BIP-70 或比特幣支付協議,是一種用於發送和接收支付訂單的交互協議。
這個比特幣改進提案描述了商家和客戶之間的通信協議,允許雙方在支付過程中獲得更好的體驗和更高的安全性,以抵禦來自中間商的攻擊。
它使你可以使購買過程更加人性化,同時為你提供始終受歡迎的額外安全功能。
問題在於,這是一項改進提案,並沒有得到太多采用,而且很少有錢包和商家採用。即使是少數這樣做的人,最終也將其刪除。
也許它並沒有幫助存在很多爭議的事實,特別是圍繞實施它的錢包之一,BitPay。
今天我們將分析這個BIP 是關於什麼的,它改進了哪一個,以及它失敗的原因。
BIP-21 與BIP-70
BIP 或改進提案是一種機制,開發人員可以通過該機制對比特幣進行更好的更改。
BIP-21
BIP-21 是一種開放式支付標準,自2012 年以來已在比特幣錢包中實施並活躍起來。
我們通常在可以使用BTC 支付的各個地方看到的二維碼是BIP-21 的結果。
該改進提案建立的規則之一是,無論錢包或服務使用何種軟件,都必須以標準方式創建和解釋二維碼和支付請求。
這是因為它保證了互操作性和兼容性。如果每個商家和錢包都使用自己的版本,則會出現很多混亂和錯誤。
無論如何,雖然簡單,但並非沒有問題。
中間人攻擊
BIP-21 的主要缺陷是它很容易偽造。攻擊者可以侵入該站點並巧妙地更改QR 碼,以便此人不知道此更改。
如果發生這種情況,通過黑客和病毒都可以實現的事情,那麼我們將面臨所謂的中間攻擊。
在其中一種攻擊中,用戶或客戶認為他正在與賣家互動,而實際上他們正在將付款發送給劫持二維碼的另一個人。
因此,可以使用BTC 和該人的其他敏感信息來完成。
BIP-70
BIP-70 是由Gavin Andresen 和Mike Hearn 於2013 年7 月提出的,專門用於對抗我們在BIP-21 中討論的這個漏洞。
該提案有以下信息:
此BIP 描述了使用Google 的協議緩衝區編碼、使用X.509 證書進行身份驗證並通過http / https 進行通信的支付協議消息。未來的BIP 可以將此支付協議擴展到其他編碼、PKI 系統或傳輸協議
簡單來說,在客戶和賣家的交互過程中,賣家的地址被點評在一個X.509證書中。
讓我們通過一個例子來更簡單地了解一下BitPay 交易,一種加密貨幣支付服務。
我們可以看到地址框有一個BitPay URL,而不是典型的比特幣地址。
用戶的錢包將使用URL 從BitPay 服務器獲取比特幣地址和金額,以及元數據,例如發票到期日期、發票編號和商家信息。
這確保了沒有人可以覆蓋和修改商家的地址。
該協議涉及幾個步驟:
客戶端單擊比特幣BIP21:帶有附加“r”參數的擴展URI(在BIP72 中描述)。作為響應,URI 管理器打開用戶的錢包。錢包聯繫商家的服務器並請求由商家的SSL 證書籤名的支付請求。收到並驗證簽名的付款請求後,付款詳細信息將自動填寫在錢包交易提交屏幕上。可選地,通知用戶他正在向與簽名證書對應的域(例如,“store.com”)的所有者付款。客戶查看付款詳細信息並單擊“提交交易”按鈕。交易生成並傳輸到比特幣網絡。交易的副本發送給商家,商家以付款確認作為響應(可選地從他們自己的節點中繼交易)。
然而,像Andreas Antonopolous 這樣的人發現了這個錯誤:
BIP70 實現了數字證書頒發的安全性,這是一個高度中心化的市場,提供者中心化。 BIP70 的實施還可能造成AML / KYC 對鏈上交易進行監視和控制的風險,這與比特幣社區是不相干的。當前協議對比新的
當前的比特幣支付協議的工作原理如下:
客戶將新商品添加到在線商店的購物車中,並決定使用比特幣付款。商家生成一個唯一的支付地址,與客戶的訂單相關聯,並要求客戶付款。客戶複製他購買的商店的比特幣地址並將其粘貼到他的錢包中或點擊鏈接,他的錢包將自動打開,總餘額到期。客戶授權向賣方地址付款,並通過比特幣點對點網絡傳輸交易。商家的服務器檢測到付款,並在充分確認交易後認為付款已完成。
當前協議添加了新功能以改善體驗:
支付目的地是安全且人類可讀的——客戶將被要求授權支付給“example.com”,而不是一個難以閱讀的34 個字符的比特幣地址。安全支付證明:客戶可以在與商家發生糾紛時使用。抵抗中間人攻擊:在授權錢包交易之前用攻擊者的地址替換商家的比特幣地址。付款收到消息:以便客戶立即知道商家已收到並處理(或正在處理)他們的付款。退款地址– 由客戶的錢包軟件自動提供給商家,因此商家在退還多付款或因某種原因無法履行的訂單之前無需聯繫客戶。 BIP-70 的優缺點
比特幣的這項改進提案具有幾個有趣的優點,可以鼓勵與BTC 進行交易,但它也有一些缺點。
優點
商家可以使用任何腳本請求付款,而不僅僅是最流行的地址類型。這使得提案與新的地址格式兼容。客戶的錢包會自動發送自己的腳本,以便在需要退款時使用。付款訂單有一個到期日期,這使得其中發送的價格不再適用於購買。商家有權將交易傳輸到網絡。這很有用,允許用戶通過藍牙或NFC 支付,即使他們當時沒有互聯網連接。
缺點
它的主要不利方面是客戶端軟件支持SSL 證書系統,其中包括許多比特幣中未使用的算法和復雜的公鑰基礎設施(PKI) 系統。
在實踐中,錢包需要包含OpenSSL 等庫。
這聽起來可能並不多,但是這個外部庫中包含的錯誤可以被利用並提供對比特幣的訪問。過去曾發生過一個名為heartbleed 的漏洞,該漏洞允許攻擊者在2014 年訪問Bitcoin Core 的私鑰。
還有一個事實是SSL 證書的中心化。
與BitPay 和BIP-70 的爭論
BitPay 是全球廣泛使用的加密貨幣支付服務。許多商家已經能夠使用該提供商的解決方案開始接受加密貨幣支付。
但是,儘管這賦予了用戶權力,允許他們使用加密貨幣進行支付,但現實情況是圍繞這一切存在很多爭議。
都是因為當他們實施這個協議時,他們完全取消了以傳統方式(BIP-21) 支付的選項,只支持BIP-70。
這是有問題的,原因有幾個:
BIP-21 實施起來非常簡單,而BIP-70 有幾個複雜之處。 BitPay 的這一突破證明了對錢包的欺凌,強迫他們實施協議,儘管他們不想這樣做。這是一個巨大的隱私侵犯,因為在整個過程中,客戶的IP 被洩露並且很容易導致他們的身份識別。結論
從理論上講,改進提案似乎對比特幣社區和大規模採用作為一種支付方式做出了巨大貢獻。然而,經驗和對細節的更精確觀察產生了不同的東西。
值得慶幸的是,人們正在尋求對這種加密貨幣進行新的改進,但同時也忽視了隱私和去中心化等重要方面。
資訊來源:由0x資訊編譯自CRIPTOTARIO。版權歸作者Criptotario所有,未經許可,不得轉載