-ћузыка

Ќе храни все €йца в одном кошельке

ƒневник

¬оскресенье, 15 ќкт€бр€ 2017 г. 02:09 + в цитатник

» lC-cRHekhgA (700x420, 61Kb) снова. ”же много roster'ов пропело про крипту и иные хеджи-инвестиции, однако, технически все как-то очень хорошо доверились SHA256 и эпилептической курве, которую €кобы не рекомендуют к применению Ђавторитетные говор€щие головыї.


ј «–я!


ќп€ть же, мыслекод подсказывает (в данном случае: если мысль пришла одному в голову, где гаранти€, что она не придЄт другому?), что дикий мир криптовалюты на то и дикий, чтобы там плодилась ушла€ нечисть.


ѕравило не хранить все единицы крипты в одном кошельке (и следование ему) €вл€етс€ делителем рисков, св€занных с фактом увода ¬—≈’ единиц крипты, либо пропорциональной его части. ¬едь это же очевидно Ц раз речь идЄт о распределЄнке, то и отступать от базовых принципов никчему.


ќбъ€сню нагл€дно риски на примере истории: один недалЄкий журналист поместил private key на майку в виде QR-кода, откуда его успешно с телеэкрана сосканировал некто ушлый и пронырливый, увед€ все единицы крипты себе. “аких наивных Ђжурналистовї в начале истории было множество, достаточно погуглить картинки Ђelectrum seedї, где пал€тс€ тонны реальных сидов, местами замазанные фотошопом, местами неумело, местами не замазан QR-код этого seed, но факт Ц вбив некоторые из них, мы получим доступ к кошелькам, в которых когда-то происходили транзакции. ј в некоторых из них сроки проведени€ первой и последней транзакции различаютс€ годами, причЄм между последней и предпоследней не проходило и секунды. ѕодозрительно? Ѕот. »ли CLAM — јћ.


—уть бота в том, что скомпрометированные ключи есть добыча дл€ последующего анализа блочного цепн€, рассчитанна€ на лохов.  ак только в мемпуле по€вл€етс€ input на скомпрометированный адрес, сразу же попадает в анализатор и output, сгенерЄнный ботом, на увод единиц крипты на заранее подготовленный кошель.  акой? ƒа пожалуйста.  то бы мог такой дурью ма€тьс€? ¬еро€тность увода стремитс€ к нулю, однако истори€ показывает. ƒействительно, сид от этого скомпрометированного кошелька есть даже у мен€, как раз из картинок гугла. “ут electrum ни при чЄм, хот€ лох уже было закукарекал о том, что кошель небезопасен.


“о есть выходит, есть один петух или целый кур€тник ферма петухов, которые только и делают, что собирают со всего мира скомпрометированные приватные ключи и сиды (тыс€чи, миллионы!), генер€т из них адреса, посто€нно провер€ют мемпул на предмет внезапного по€влени€ на них вход€щих транзакций, и быстренько генер€т исход€щую. —кажем так, лох не мамонт, будьте осторожны.


Ќо мы пойдЄм дальше, да? ≈сть такой сайт, в своЄ врем€ обрушивший курс первой крипты Ц http://directory.io. ”шлые люди прикрутили к нему расширенное зеркальце, сразу же показывающее балансы Ц http://www.btckey.space, к счастью, он иногда не работает. Ёто дл€ игроманов и прочих вер€щих в своЄ везенье, иногда он даже не работает (403). –еб€та же, помимо автозапроса балансов, прикрутили к нему монетизацию банальной рекламой, счЄтчик посещений зашкаливает от наплыва вер€щих в удачу. Ќо нет же, наход€тс€ лохи и здесь Ц пишут парсеры веб-страниц, автокликеры по кнопке ЂNextї в надежде брутфорсом найти хоть один работающий адрес. ј дл€ проверки скриптов-кликеров на рандомный адрес с известным приватным ключом эти хитрецы-лохи отправл€ют хоть копеешные, но всЄ же суммы, или вообще вбивают свой приватный ключ. ѕросто чтобы увидеть, как красна€ циферка 0 превратитс€ в зелЄненькую Ђ не 0 ї. –азумеетс€, если бы € держал такой сайтик, € был бы бенефициаром, хоть оно и палевно IRL. Ќо можно ведь просто следить за непустыми адресами, а потом  јјј  ”¬≈—“» ¬—®! ѕоэтому будем осторожны вдвойне, это тоже дл€ лохов, но уже менее конченных. “е, кто уводит копейки с первых страниц = те, кто наживаетс€ на мошенниках-лохах. ѕервые и последние несколько страниц этих сайтов содержат ключи, которые не знает разве что слепой и глухой Ц столько народу их переюзало как тестовые, просто по приколу отправл€€ туда считанные копейки. » сразу же становились жертвами уводов даже с девственных адресов. ѕросто потому, что адреса эти лежат в начале списка из ахриллиарда страниц. ј теперь подумаем о том, что есть страницы с красивыми номерами, страницы, которые скомпрометированы близостью к уже скомпрометированным ключам, да в конце концов просто русска€ рулетка Ц кто мешает нагенерить девственных ключей с адресами и посто€нно следить за ними в надежде на то, что однажды на них упадЄт input? “ем более следить не запрещено, использу€ свою fullnode. “от же генератор vanity, хоть и включает в себ€ элемент случайности, при должных мощност€х может сильно помочь в сужении круга адресов дл€ слежки. Ќо это уже энергозатратно, поэтому € бы остановилс€ на варианте, что за некоторым количеством рандомных девственных адресов всЄ же наблюдает невидимый глаз и свер€ет с мемпулом в надежде на.

ѕоэтому, дл€ успокоени€, при заведении своего нового адреса, на который ожидаетс€ крупный input, есть смысл проверить адрес на кошечках Ц послать откуда-нибудь на него ничтожную сумму, но котора€ позволила бы еЄ вывести с комиссией. “о есть не 0,00000001, а 0,0001. »ли 0,00013569. »ли 0,00028641. Ёто на случай того, что в ту же секунду она может уйти в неизвестном направлении, бот всЄ же тупой, но не настолько, чтобы нельз€ было отличить Ђстандартнуюї тестовую сумму 0,0001 (если все станут внезапно осторожными), потому что пока боты жадные. Ѕот будет по жизни тупым, если будет уводить всЄ в ту же секунду. Ќо это сейчас он тупой, но врем€-то идЄт...


Ќу а €йца в одном кошельке и подавно хранить грешно, ведь всЄ вышенаписанное будет касатьс€ не одного ключа, а допустим, 15 штук, потому боль от увода уменьшитс€ пропорционально.

–убрики:  этот удивительный мир вокруг нас

ћетки:  

ƒеанон анонимов

ƒневник

—реда, 23 јвгуста 2017 г. 03:40 + в цитатник

“ут у встал вопрос об уместности модного хайп-слова Ђблокчейнї и технологии не только в мечтах шифропанков, но и в реальной жизни и традиционной коммерции. Ќу, во-первых, будь то централизованный реестр, вопросов бы не встало, ибо достоверность любой документированной записи в логе-журнале лишь вопрос финансировани€, всЄ покупаетс€ или берЄтс€ с табельным пистолетом у виска.


ѕарадигма тройной записи в бухучЄте. Ёто великолепно, но никаких тебе задних чисел в документах предусмотрено не будет, а если ещЄ и шифровать контент приватными ключами, то можно воистину публичный реестр вести, чтоб прилипало только то, что соответствует. ѕрограмма-клиент дл€ бухгалтерского блокчейна, этака€ фуллнода, может свер€ть данный реестр по соответстви€м хэшей правилам. » наличие таких фуллнод у коммерсов на серверах будет свидетельствовать о прозрачности происход€щего. ƒругое дело что станет больше договорЄнностей подковЄрных, устных, а потом уже счета-договора с заранее оговоренными услови€ми сделки, которые попадают в цепочку.


√epмaн пиаритс€, ибо сбepкaccа только летом услышала, откуда звон про криптовалюты, блокчейны, инсайдеры экс и нынешние вообще ни сном ни духом, короче сплошной пиар. ¬ любом случае, фантазии обречены потому как с центральным регул€тором местечкова€ крипта будет иметь лишь добровольно-принудительное внедрение, с девайсами зелЄного цвета, Ђпринадлежащие сберкассеї, этакие hardware wallet с NFC. — инфл€цией, заморозкой счетов и иными прелест€ми прогресса около KYC-AML, только вот нал исчезнет совсем, увы.


» пожалуй, самое главное. “о, чего бо€тс€ шифропанки - деанона. » мир делает шаги по деанону того же битка. ќбращали внимание, что на буржуйских фасетах, пулах и любых иных сервисах, где надо вбивать адрес, об€зательно присутствует предупреждение об использовании сайтом cookies? “ак эти куки неизбежное зло, уже более 20 лет деанонимизирующее пользователей в сети. Ћюбые места в светлом сегменте интернета, где нужно светить свой адрес, коллекционируют отпечатки и следы юзера типа ip, браузер, машина, €кобы дл€ рекламы, но нет же, нет. ѕо этим отпечаткам и можно, хоть и косвенно, сначала псевдонимизировать владельца адреса, а потом уже и деанонимизировать. ј потом человечью глупость и ошибки никто не отмен€л, ну и кластерный анализ. я уж не говорю про авторизации в соцсет€х.


Ќу и будущий деанон юзера в точках пересечени€ самой капитализированной криптовалюты с фиатом - обменниках центробанка (futures), где и будут взыматьс€ (упаси!) вс€ческие ндфлы, и хуже того - ндcы. ѕока не объ€снишь суть и происхождение своих транзакций, хрен выведешь. ¬ыходом стать может только рост распределЄнных бирж и обменников, где ценность при скрываемых транзакци€х будет расплыватьс€ по всей экосистеме криптовалюты, и выплывать в неожиданных местах.
  примеру, € захотел засейвить свои подверженные инфл€ции местные криптотугрики в биток как самую дубовую дефл€ционную валюту от греха подальше, или перевести еЄ на другой конец планеты. я иду в центральный обменник, ту же сберкассу, авторизуюсь под своим белым аккаунтом, прив€занным к телефонке, и перевожу по текущему курсу криптотугрки в биток на адрес, который € укажу, к которому имею приватный ключ. ‘актически тем самым деанонимизировав этот адрес перед большим братом, потому как теперь бб знает, сколько у мен€ битков прибыло и пристально следит за их перемещением.


ƒалее € могу засандалить их в миксер или на мультисиг эскроу, и сразу же привлечь внимание регул€тора тем, что, мол, Ђкуда утекли конкретно эти монеты?ї. ќднако мы все €кобы свободные люди и распор€жаемс€ активом по своему усмотрению, ведь отправна€ точка известна, а дальнейшее движение неос€заемых средств не их пЄсье дело - подсказывает внутренний либераст.


—ледующим этапом дл€ анонимизации следует пересылка на децентрализованный обменник-биржу с последующей конверсией (за %, естественно) в какую-нибудь монеру, при этом битки остаютс€ лежать на адресе, нам уже неподконтрольном. Ќо нам надо будет выдумывать причину перевода со своего адреса, будь то сделка с частным лицом или что-то иное, указать это частное лицо (перевести стрелки на дропа, ага), а при том, что регул€тор воспринимает битковую сеть не как чЄрный €щик с известными входами и выходами, а как вполне себе €щик с гр€зным бельЄм, в котором копатьс€ не грех, и если мы укажем дропа, то дроп-то тоже по идее должен быть в белой системе со своим белым адресом! ƒеньга до адресата-то не дошла! ¬от тут-то и вопросы к пересылающему сыплютс€ от регул€тора. ¬ монерах можно действительно замиксовать и скрыть движение, но выход у транзакции должен быть, если мы хотим жить честно и наживатьс€ на спекул€ции, а не уводить лавэ в даркнет или в сайдчейн.


я не стесн€юсь задавать люд€м неудобные вопросы, так почему же регул€тор не может задать неудобный вопрос, мол, а куда ты со своего адреса (который они, деанонимизировав отправкой с него какого-нить подписанного кода верификации, уже считают почти подконтрольным счЄтом) дел битки и на какое такое дело? - подсказывает Ћадно, допустим, население в 95% тупое и спекул€нты, потому у них по жизни будет на одном белом адресе лежать всЄ наспекулированное, купленное задолго до глобальной регул€ции, и единственное место, куда они будут выводить - их же криптотугриковый счЄт. ƒопустим даже, что представители даркнета так и останутс€ в даркнетах и эти битки в процессе сделок никогда не выплывут ни в фиат, ни будут деанонимизированы. Ќо есть ѕет€ и ¬ас€, которые физики, и между ними состо€лась сделка, в процессе которой они обмен€лись определЄнным количеством битков (в одну или другую сторону) на белые адреса. —делка зафиксирована, и уже и ѕет€ и ¬ас€ добровольно-принудительно должны будут сдать свои входы-выходы, тем самым сдав какую-то часть сети. » типа ѕет€ и ¬ас€ хорошие. ј есть ћаша-наркомаша, котора€ на лифлæ хочет купить стaф, и дл€ этого приобретает биток за криптотугрики. «атем этот биток кочует по миксерам-эскро€м-мультисигам и обменникам в монеру и далее его движение необъ€снимо. ¬ таком случае у регул€тора эрегируетс€ вопрос по поводу движени€ этой монеты по ћашиной инициативе неизвестно куда и может приехать пативэн. “о, что кластерным анализом можно будет отследить выход ценности дл€ данной покупки из битка в монеру и выход еЄ обратно в биток на западном побережьи колумбии - несомненно, даром что эта ваша монера будет считатьс€ чЄрным €щиком дл€ всех, включа€ самого большого брата с самым длинным носом, всЄ равно вход будет равн€тьс€ выходу за вычетом комиссий и процентов, что как бы и лишние издержки, и непон€тный геморрой дл€ 95% населени€. “ут всю криптовую экосистему подводит антропометрический показатель - врем€. ј то, что монеру или любую другую совсем анонимную крипту не легализуют как платЄжное средство 90% в тех странах, кто не банановые республики или офшорные зоны. ёзкейсы уж больно тЄмные, а спекул€тивный биток прозрачен с точки зрени€ нынешнего подхода засовывани€ носа в дела своих и чужих граждан. — юриками ещЄ хуже. «ато всем становитс€ €сно, что силами локальных больших и малых братьев, которые и сейчас-то не могут договоритьс€ по поводу сноуденов и иных ассанжей, без уже малоскрываемого объединени€ усилий под бравурными лозунгами нихрена не сделать.


 ороче, на вс€кий: куки, современные обменники с их фиатными дропами и иные биржи (соблюдащие предписани€) есть уже существующие дырки дл€ деанона. ѕод монерой понимаетс€ не только монера, но и все многообещающие и пока плавающие на дне валюты, обещающие анон.

–убрики:  здесь и сейчас

ћетки:  

 —траницы: [1]