ЗЫ А вообще очень классный проект, с учетом что как говорится "в одно рыло", было бы многим интересно услышать основные грабли на которые наступили походу, на подобии тех с генератором адресов, как Вас хакали, как оборонялись и тп. На хабре можно было бы это запостить, было бы вдохновляющие, так как биржа посерьёзнее проект сосцети(смотря какой конечно), как для одного чела это очень круто. Код закрыт, думаю публикация уже найденных уязвимостей и ошибкок на пути, не навредят, но будет другим очень интересно, а Вам реклама))
Год назад перестало здесь дальше обсуждаться. Почему, интересно? Знает кто. После того, как оплата картами европейских серверов стала недоступна, биржу перенес на другой сервер и сейчас она работает в минимальном демонстрационном режиме. Сервер слабый, поэтому большинство модулей отключено. Сообщества разработчиков биржи создать не получилось. Дальнейшая разработка "в одну каску" меня интересовать перестала из-за экономической нецелесообразности. Сейчас занят другими проектами в качестве разработчика на зарплате. |
|
|
|
Hi I am trying to understand this article. Can someone explain to me how the ECDSA adaptor signing is work? From the article: 1. ECDSA adaptor signing s' = (H(m) + R t p)r -1As I understand this is standard formula where x = t p - is a private key for the signature s'. So public key is P = t p G 2. Decryption ECDSA adaptor signature: s = s' t -1 = (H(m) + R t p)(rt) -1I can't understand this. Because it follows that: s = s' t -1 = (H(m) + R t p)(rt) -1 = (H(m) t -1 + R p)r -1But this is not standart formula for ECDSA signature (( It should be s = (H(m) + R p)r -1I don't think the article is wrong. Most likely I'm missing something. Can anyone help with understanding these formulas? |
|
|
|
3. Радостный юзер считает упавшие на его кошель бабки своими и тут же их выводит.
Может, те трейдеры полагали, что это " вэлком бонус" от Вашей криптовалютной биржи. Возможно некоторые, особенно новички, так могли подумать. Но уверяю вас, большинство из тех, кто регается на OpenTrade - это не новички которые пришли с целью поторговать, а прожженные хакеры, которые ищут уязвимости. Наверно, есть смысл упомянуть об этом баге в документации к opensource-версии Вашей биржи на Github, чтобы другие не повторяли подобных ошибок и не теряли свои деньги.
Этот баг был в сервере аккаунтов, который все еще с открытым кодом. Я этот баг там пофиксил, так что не вижу смысла о нем говорить где-то еще кроме форума. в строке запроса пулять всякие секреты вроде как не рекомендуется, хацкеры могут потибзить, лучше в теле запроса джисоном, там оно шифруется, а строка запроса нет Строка запроса тоже шифруется ибо там в начале кто-то написал "https://" Подсмотрите лучше как сделали это в биттрексе Именно от туда все и слямзено. Посмотрите:  разве трейдингвью прикрутить сложно? Когда я начинал разработку, у трейдингвью не было бесплатной версии. Поэтому взял гугловскую библиотеку и подпилил напильником. Сейчас в принципе можно и трейдингвью прикрутить, но не могу времени на это найти пока. Ну и ботов поставить маркетмейкерных Запускаю иногда, потом останавливаю. Мешают они когда что-то тестировать надо. |
|
|
|
Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги.
Здравствуйте kzv. Если не секрет - расскажите в общих чертах про уже закрытые вами уязвимости, каким образом вас взламывали? Сам принимаю участие в создании небольшой биржи, интересно все что связано с безопасностью таких проектов. На лично я больше всего потерял, так это на вере в крутость программистов биткоина. Я не стал "изобретать велосипед" и пользоваться сторонними библиотеками чтобы генерировать новые адреса для депозитов, а отдал это на откуп RPC биткоина, за что поплатился кучей бабла... Суть в том, что до недавнего времени (во многих форках, в том числе в догах, это все еще не пофиксили), алгоритм генерации новых адресов в демонах монет был следующий: генерируется пул из где-то 1000 адресов, которые где-то там запоминаются и выдаются по одному при запросе getnewaddress. Все замечательно если не учитывать тот факт, что какой-то умник, в какой-то ранней версии битка, сделал эти вновь сгенерированные, но еще не выданные адреса, доступными для сдачи от транзакций!!! К чему это говно привело на бирже догадаться думаю не сложно: 1. Кто-то делает вывод средств с биржевого баланса, сдача капает на адрес которого еще нигде никто не видел, но который есть в пуле для выдачи. 2. Новый юзер регает аккаунт, заходит в кошелек, спрашивает адрес для депозита на биржу, ему выдается "новенький" адрес на который ранее уже упала сдача! 3. Радостный юзер считает упавшие на его кошель бабки своими и тут же их выводит. В пункте 3 были еще и более продвинутые козлы, которые выводили не сразу, а сначала продавали эти монеты своему альтернативному аккаунту по цене типа 13 догов за 0.004 битка, а потом уже выводили. Когда я таких успевал брать за жопу, то начинались возмущения и даже угрозы: "мол я ни я, жопа не моя, кто-то продал, я честно купил, теперь вывожу - давай сюда мои бабки быстро суко!!!111" |
|
|
|
|
Проект никогда не предполагался быть на продажу. Я как дурак надеялся, что идея понравится сообществу программистов и кроме меня там появятся еще разработчики.
По факту, другие программисты коммиты делали только в фронтэнд, а в серверную часть никто так и не подумал залезть. Хотя, справедливости ради сказать, за три года все таки нашелся один единственный человек, который бескорыстно мне показал одну уязвимость. Но большинство все таки предпочитает найденные уязвимости использовать чтобы пиздить мои деньги. Поэтому код сейчас и закрыт наглухо.
|
|
|
|
Все остальное актуальное в закрытом репозитории.
Закрытый только для себя или в продаже тоже есть? Только для себя. Продажи не планируются. Небольшой опыт продаж показал, что без полноценной техподдержки со стороны автора с кодом никто справиться не может (( |
|
|
|
Гугол ничего внятного не даёт, везде тупая формула типа 148 * In + 34 * Out + 10 1) 148 - почему вход такой большой, если транзакция однозначно индексируется подписью 256 bit (32 Byte) 2) 34 - выход состоит из суммы 64 bit и адреса 160 bit (28 Byte) 3) 10 - почему подпись такая короткая, если должна быть 256 bit (32 Byte) Тут почитайте, все разжевано: https://bitcointalk.org/index.php?topic=5198084.msg52959743#msg52959743 |
|
|
|
А в репозитории актуальный код? Или просто какой-то срез из прошлого? А то вижу, что в нем нет фич, которые на multicoins явно присутствуют.
Актуальный опенсорс поддерживаю только для сервера аккаунтов. Если получаю сообщения о критических для безопасности багов, то делаю фиксы вопенсорс коде. Все остальное актуальное в закрытом репозитории. |
|
|
|
What do the names under balance represent? Names of members of a specific rank that are currently online?
Yes. I embodied the wishes from acroman08 "to show the list of names of who's online" Are these live statistics? Where do you get your data from? Yes it is updated every 5 sec from here https://bitcointalk.org/SSI.php?ssi_function=whosOnlineEdit: Added count of post for every ranks  |
|
|
|
Good... home page loading now... but unfortunately still not loading any data, i guess some of your apis still using port 5166 e.g. https://trade.multicoins.org:5166/api/v1/public/getmarket |
|
|
|
Well in that case the Copper Member group is missing  I am a Hero member but since I am wearing a paid membership, my name doesn't appear under the Hero member live balances even if I am online. You might want to look into it plus other ranks such as Donator, VIP etc For now there is missing users with marked in hex colors as #228B22 and #0000FF (found it: Global Moderator) . That because I do not known who is it. It looks like this is the Donator and VIP. The Copper Member group should present there. I'm probably missing something but I'm seeing less in comparison to the numbers shown under the Volume category
The volume is the average users count over the period of one candle. (average 10 min by default) |
|
|
|
What do the names under balance represent? Names of members of a specific rank that are currently online?
Yes. I embodied the wishes from acroman08 "to show the list of names of who's online" |
|
|
|
is it possible to show the list of names of who's online just like on Bitcointalk.org's visit statistics?
May be in future... I do not know how to do this with friendly interface also, is there really no Jr member/JMB on the list or si it just there is no jr member online?
My bad. I am forgot about Jr member's  Fixed |
|
|
|
Лохи те, кто сейчас продолжает поддерживать эту аферу. Лично мне, как только они выкатили эту непонятную ху@ю и назвали её публичной тестовой сетью нового революционного блокчейна блять, всё сразу стало ясно. Даже исходники отказались выкладывать. А на последней AMA объявили о запуске основной сети только в первом квартале 2021😁. На все вопросы где исходники, где чудо BOB ответ был одним и тем же: НИКАКОГО ответа.
Вспомнил про эту тему, решил зайти и посмотреть, как тут главный идеолог поживает? А он воно как переобуться уже успел однако! Афера. Хуйня. Словеса-то какие! Откуда такие обиды? Перестали платить за рекламу скама? Я просто оставлю это здесь еще раз: На самом деле мне лично идея нравится, поэтому и зашел а эту тему.
p2p звонки это гуд... Только зачем для этого нужен прямо новый телефон с непонятно как и кем перепиленным андроидом, если этот функционал можно в обычное приложение запихнуть?
Что там может быть такого, для чего обязательно особенное железо с особенным андроидом нужно? К сожалению автор топика просто переводчик-рекламщик который ничего по технической части сказать не в состоянии. Перевод кстати от машинного мало отличается (
Бгг,я так понял,объяснять совсем тебе бесполезно,однобокий,как флюс,но для общественности еще раз поясню конечно Во-первых: новый телефон также имеет свою особенность.Он модульный и может быть собран по частям на вкус и цвет пользователя Во-вторых: Непонятно кто - это ты. А OS f(x) модифицирована PundixLabs,поставщиком устройств и экосистемы известной всему миру XPOS. Но тебе диванному,наверное, лучше знать,что нужно модифицировать и как  На каком этапе исходники выкладывать и прочее... В третьих: естественно в будущем можно будет просто интегрировать экосистему Fx в любой поддерживающий её смартфон. Если кому то не нужна модульная трубка,пусть использует приложение. В четвертых: перевод качественный,не пи..ди,мой английский великолепен,впрочем,не удивлен таким мнением,так как читать ты не умеешь. Что касается технической части,подробностей,которых ты требуешь,на данный момент нет. Лишь краткое описание. Да и зачем тебе исходники? Ты же из тех диванных "экспертов",которые все равно будут кричать,что "всё не так,надо было по другому". |
|
|
|
их не нада собирать, вы ставите rpm дотнет и запускаете, эти бинарники сами по себе кросс-платформенные
Ну покажите скриншот того как ваш бинарик работает в линуксовом терминале. Или вы мне еще и гую предлагаете на серваки ставить? |
|
|
|
исходники? или бинарники? оно просто написано на .net core 3.1, на винде ессно работает, должно и на линухе и макоси работать но я не проверял
Я почему-то на 100500% уверен, что вы не умеете собирать банарики дотнета под линукс. Это не приговор. Я тоже не умею. Но и учиться не хочу... Если хотите делать проект для массового использования на серверах, то делать его надо под линух изначально. Под виндой серваки дорогие для "просто поиграться". И еще, то что претендующий на масштабность проект пилится в одиночку с нуля без вложений... говорит о том, что там косяк на косяке и допиливать его будет сложней чем стереть нафиг и переписать с нуля опять и так несколько раз пока не надоест. Если делать подобного рода проект, то его надо начинать форком битка или чего-то еще, у кого большинство детских болезней уже вылечили. |
|
|
|
|
Мне идея нравится. Сам хотел нечто подобное реализовать, но воде амаклин мне тогда раскритиковал вдоль и поперек, поэтому отказался. Сейчас суть критики не помню.
Вижу, что у вас не просто идея, а есть готовая реализация? Давайте исходники, запущу на своих узлах, потестируем.
|
|
|
|
Эх, надо было не слушать никого и делать прототип. Мог бы на 500к баксов попретендовать сейчас. Налоговая служба США (the United States Internal Revenue Services, IRS) заплатит $625 тысяч за технологии, помогающие отслеживать транзакции в сети криптовалюты Monero или Bitcoin Подробнее: https://www.securitylab.ru/news/512041.phpЗа два дня не успею теперь |
|
|
|
|
Show Posts
