I “paper wallet” sono, come dice la definizione stessa, “portafogli di carta”. In breve sono dei fogli in cui vengono scritte la chiave pubblica e quella privata di un wallet: fintanto che quelle chiavi rimangono scritte solo su carta, il paper wallet è il portafoglio di criptovalute più sicuro che ci sia. O no?
Infatti pare sia stata scoperta una “vulnerabilità”. Molte di queste coppie di chiavi vengono generate su siti web che utilizzano codice Javascript. Questo codice utilizza una funzione, chiamata secureRandom(), che pare non essere in grado di generare codici completamente casuali.
Pertanto chi ha generato una coppia di chiavi con questo metodo (che è in assoluto uno dei più usati) rischia che la sua coppia di chiavi, ora o in futuro, possa essere rigenerata identica per qualcunaltro! Il problema è che se qualcuno ottiene la tua coppia di chiavi (magari da un generatore che non è poi così tanto casuale quanto dovrebbe) può usare i tuoi token come se fossero suoi… Addirittura il consiglio che si dà è quello di rimuovere i token da wallet le cui chiavi siano state generate in questo modo (spostandoli su wallet più sicuri)!
Per Bitcoin uno dei wallet più sicuri (ovvero le cui chiavi sono generate in modo davvero casuale) è Electrum. Ricordate che, una volta installato Electrum (magari offline), potete salvarvi su carta il seed e tutte le coppie di chiavi generate, e disinstallare il software: in questo modo avrete di fatto generato un paper wallet sicuro. Poi tanto potrete sempre reinstallare Electrum in futuro, stavolta utilizzando il seed (o le chiavi private) precedentemente salvate per creare un nuovo wallet, al posto che farne generare di nuovi al software: così avrete recuperato il vostro wallet precedentemente creato, e potrete operare (mi raccomando: salvate sempre su carta i seed e le chiavi private dei vostri wallet, in modo da poterli recuperare qualsiasi cosa succeda).
Ricordate anche che per ricevere token su un paper wallet non è necessario alcun software: basta dare la propria chiave pubblica a chi ve li deve inviare, e verificare con un cosiddetto “explorer” che siano arrivati. Avete bisogno di un software solo se volete inviare i token che state conservando su un paper wallet.
Fonte: www.mail-archive.com/[email protected]/msg06929.html